L'accélération du temps

J'ai été confronté plusieurs fois dans ma vie à des ruptures technologiques, et rares sont celles que j'ai pu anticiper : j'ai connu l'arrivée de la calculatrice, en remplacement des tables de logarithmes et de la règle à calcul, puis l'arrivée de l'ordinateur personnel puis d'internet dans les foyers et enfin le tsunami des téléphones portables. A chaque fois, même si je faisais partie des premières vagues d'utilisateurs, j'observais progressivement les impacts de ces technologies dans la société. En automatique, on parle de réaction du second ordre à un échelon de Heaviside : la rupture se modélise par une marche, et le système réagit, puis sur-réagit, et enfin se stabilise autour d'un nouvel état.

Aujourd'hui, nous vivons une transformation majeure : la première vraie percée de l'IA avec l'arrivée des LLM (Large Language Models). Je n'ai pas besoin d'être devin pour le comprendre, cette évolution va avoir un impact terrible.

Effroyable pour la planète.
Effroyable pour les emplois.
Effroyable pour l'informatique.

Avant d'aborder le troisième point, je voudrais revenir sur la manière dont j'ai réagi sur les ruptures technologiques que j'ai citées :

  • calculatrice (1975) : génial, mais attention à pouvoir continuer à faire des calculs sans (ahaha).
  • ordinateur personnel (1979) : fantastique, je vais pouvoir faire des jeux, écrire des algorithmes plus puissants, explorer des hacks.
  • internet (1989) : c'est rigolo, je vais pouvoir échanger des programmes avec d'autres chercheurs et accéder à plus de puissance de calcul disponible à distance dans les centres de recherche mieux pourvus.
  • téléphone portable (2001) : Mouais, bof, je ne vois pas trop l'intérêt d'y avoir collé un appareil photo.

Bref, je ne suis pas très intuitif sur le succès ou l'impact d'une technologie...

Comme beaucoup de personnes, j'ai été fasciné par ChatGPT et l'onde de choc que cet outil a générée. J'ai joué un peu avec, puis j'ai créé quelques images avec d'autres LLM, quelques morceaux de musique et puis, guidé aussi par mes enfants qui insistaient sur le pillage des créatifs, en particulier sur la génération d'images "façon bidule", guidé également par quelques remarques de lecteurs, j'ai cessé d'utiliser ces gadgets autrement que "de temps en temps".

Mais, dans le cadre de mon travail de RSSI, j'ai été amené à voir concrètement la hausse du nombre d'attaques sur l'informatique de l'entreprise. Mon budget est en baisse, mon équipe se réduit et le nombre de prestation que je peux demander à des experts cybers se réduit comme peau de chagrin.

Concomitamment le sujet de l'IA entrait dans mon entreprise, comme dans beaucoup d'autres. Détenteur d'une thèse ayant comme sujet principal les réseaux de neurones, je ne pouvais pas ne pas m'intéresser au sujet. Las, la seule vraie chose qu'on me demandait, parce que c'est ma fonction dans l'entreprise, était de faire en sorte que l'adoption des outils d'IA se fasse en toute sécurité, sans fuite de données anarchiques et avec une analyse des risques pour l'entreprise.

Je suis allé plus loin.

Avec mon alternant qui apprend à faire du red-team, nous avons commencé à tester des outils open source à base d'IA. Et nous avons été bluffés. Le billet intitulé "Pentests assistés par IA" n'était que le début de nos découvertes. Voici ce qu'il s'est passé en quelques semaines.

Le déclic s'est produit quand mon alternant m'a indiqué qu'il se payait avec son argent un abonnement Claude Pro à 100€ par mois. Ca m'a beaucoup surpris, et je suis rentré le soir dans ma coquette studette parisienne, très dubitatif. Si mon alternant dépensait 100€ dans un abonnement IA pour faire du red-team, j'étais en train de rater quelque chose. Je ne pouvais pas rester sur le bord de la route à regarder passer le train sans monter dedans. J'ai donc pris un abonnement Anthropic Claude Max à 100€ pour un seul mois, et je me suis donné comme objectif de tout comprendre en un mois. Cela a été le mois le plus intense, avec des sensations que je n'avais pas connues depuis longtemps.

J'étais redevenu un chercheur.
J'avais de nouveau 25 ans.

J'ai installé une VM GNU/Linux sur mon poste pour isoler un peu mes tests. Je savais que j'allais apprendre en marchant, et donc faire pas mal d'erreurs. Une fois sous Linux, j'ai installé le CLI Claude Code et commencé à tatonner un peu. Puis j'ai cloné les projets opensources suivants (et beaucoup d'autres) :

Pendant des jours, et des nuits, j'ai étudié leur fonctionnement et testé leurs possibilités, mais surtout, je les ai complètement transformé en codant des nouvelles fonctionnalités, des correctifs et en étendant leurs possibilités. Le tout sans taper une seule ligne de code...

En trois semaines, j'avais mis au point un superbe outil de pentests blackbox, greybox et whitebox, capable de trouver en 2h toutes les vulnérabilités REELLES des applications de mon entreprise, avec preuves d'exploitation et avec rapport pédagogique de remédiations pour les équipes de développement et les équipes infrastructures. Ce que je demandais à faire par des experts une fois par an, je peux le faire maintenant plusieurs fois par jour.

Pour améliorer les chances de mon outils de pentest, j'ai demandé un accès à tous les dépôts de code de l'entreprise et j'ai lancé Metis qui, pour chaque application, m'a donné des fichiers SARIF de failles exploitables qui je pouvais passer à Shannon pour améliorer ses découvertes.

Idem avec pyADRecon, PentAGI et Prowler, qui m'aident à fournir des preuves de faiblesses de nos outils informatiques à nos équipes de sécurité opérationnelles.

A chaque fois, j'ai procédé de la même manière : analyse de l'outil, analyse de son code source et de sa stack technique, puis adaptation à mes besoins et à mes possibilités. Par exemple, j'ai doté tous les outils d'un accès aux différents LLM du marché, pour ne pas dépendre du seul Anthropic et j'ai pris un abonnement à 100€ à Ollama Cloud pour pouvoir utiliser les modèles à poids ouverts que j'ai pu tester sur ma machine perso multi GPU dont j'ai déjà parlé sur ce blog et qui me sert de chauffage l'hiver.

Comme je n'ai écrit aucune ligne de code, je ne peux pas envisager de contribuer sur ces projets (et heureusement pour eux), mais j'ai partagé en interne les outils avec mon équipe et avec les équipes de développement.

Mon outil de pentest a permis également d'encadrer tous les projets de "citizen devs" en vibe coding qui pouvaient naître dans l'entreprise. Les résultats freinaient un peu ceux qui pensaient pouvoir créer de grosses applications "en un week-end", tout en leur permettant de revoir leur copie à la lumière des recommandations que je pouvais leur faire.

Un mois après, j'obtenais de mon entreprise un abonnement Claude Max x20 + un abonnement Ollama Cloud x20 + un abonnement OpenAI Pro x20 pour pouvoir couvrir tous mes besoins en analyses et en recherches de failles de sécurité. Les équipes de dev et infra disposent également d'abonnements pour pouvoir corriger au plus vite toutes les failles découvertes, et éviter d'en générer de nouvelles, en améliorant la qualité de la sécurité de leur code.

J'ai appris (en tout cas, j'ai survolé) la méthode TDD, les tests des QA, la chaîne CI/CD jusqu'à la prod. J'ai mieux compris les problèmes des Devs, je peux plus facilement discuter avec eux et servir de pont avec l'infra. Tout cela est venu s'ajouter à mes fonctions de pilotage du SOC externe managé et de suivi des actions de sécurité opérationnelle.

En un mois le temps s'est accéléré et je ne l'ai pas vu passer, mais nous avons corrigé un grand nombre de failles et mieux protégé nos données.

Le plus dur est de savoir que cela ne suffira pas... car les défenseurs perdent toujours : les seuls châteaux qui n'ont pas été pris sont ceux qui ont fini par être abandonnés par leurs occupants.

C'est le même constat pour mon blog : je sais qu'il se fera pirater un jour mais cela ne m'empêche pas d'essayer de reculer cette échéance. J'ai d'ailleurs pu appliquer ici même mes nouvelles connaissances pour passer, en une semaine, d'un site WordPress à un site statique, de durcir la sécurité du serveur et du CDN, de passer à DNSSEC, et d'améliorer l'accessibilité du site. Je repoussais toutes ces tâches par manque de temps.

L'IA est à considérer comme une aide, comme un stagiaire pouvant être très performant mais aussi très mauvais, ou comme un consultant. Ce qui m'amène à finir ce billet avec une blague que j'ai retrouvée cette semaine dans un de mes emails de juillet 2000 et qui s'appelle :

".... à méditer !"

La voiture s'immobilise et le jeune qui en descend s'adresse au berger :
- Si je devine combien de moutons vous avez, vous m'en donnez un ?

Le berger regarde le jeune homme, regarde les moutons qui broutent et dit :
- Oui.

Le jeune homme gare la voiture, branche le notebook et le GSM, entre dans un site de la NASA, scrute le terrain à l'aide du GPS, établi une base de données, 60 tableaux Excel pleins d'algorithmes et d'exponentielles, plus un rapport de 150 pages, imprime sur sa mini imprimante HIGH-TECH, puis se tourne vers le berger et dit :
- Vous avez ici 1586 moutons.

Le berger répond :
- C'est tout à fait correct, vous pouvez avoir votre mouton.

Le jeune homme prend le mouton et le met dans le coffre de la Jeep. A ce moment le berger lui demande :
- Si je devine votre profession, vous me rendez mon mouton ?

Le jeune homme répond :
- Oui

Le berger dit tout de suite :
- Vous êtes consultant.
- Comment avez vous deviné ? Demande le jeune homme.

Très facile répond le berger :
1) Vous êtes venu ici sans qu'on vous appelle.
2) Vous me taxez un mouton pour me dire ce que je savais déjà.
3) Vous ne comprenez rien à ce que je fais, parce que vous avez pris mon chien !

Statue sombre d'un homme en costume marchant en avant, brandissant un drapeau dont l'étoffe lui recouvre le visage, sur fond de ciel bleu.
Source https://banksy.co.uk/

Dépoussierage

Après avoir démarré ce blog sur Blogger sous l'url zythom.blogspot.com puis sous zythom.fr, j'avais migré sur Wordpress (toujours sur zythom.fr) pour étudier cet écosystème très utilisé dans les différentes entreprises où j'ai pu travailler comme RSSI.

Mais héberger à la maison et sécuriser un Wordpress en continu, même caché derrière Cloudflare, c'est très instructif, mais assez fatigant.

La dernière analyse de sécurité que j'ai pu mener avec mon outil de pentest (un shannon amélioré) a fini de me convaincre : j'ai décidé de migrer vers un site statique.

J'ai commencé la réflexion dimanche dernier, et en quelques heures, aidé par Claude Code, j'ai pu migrer l'ensemble des billets vers des fichiers au format markdown et je commence à tester Hugo.

J'ai sans doute encore beaucoup de choses à régler, mais le site sur lequel vous êtes est à peu près stabilisé.

J'ai perdu la possibilité pour les lecteurs de mettre un commentaire, mais nous sommes en 2026, et les discussions/remarques se font ailleurs. Cela m'évite aussi de modérer avec plusieurs jours de retard, de gérer tous les spams, d'être co-responsable des propos tenus, etc.

J'en ai profité pour aller repêcher tous les billets que j'avais supprimés petit à petit, les images manquantes, les liens cassés, les billets en anglais (traduction par des êtres humains bénévoles que je remercie encore), les commentaires anonymisés et le thème auquel je me suis habitué. C'est assez grisant de dire à Claude Code : "cherche tous les liens externes cassés et remplace les par un lien vers Wayback"...

Profitez en pour revisiter ce site dépoussiéré, en attendant les 20 ans en septembre ;-)

Les avocats et l'IA

La profession des avocats est (de mon point de vue partial) une profession très dynamique. Ils se sont emparés relativement rapidement des outils numérique, parfois en plusieurs étapes (je pense au RPVA, le Réseau Privé Virtuel des Avocats, dont j'ai déjà parlé sur ce blog), et c'est bien entendu le cas sur l'utilisation de l'IA dans les cabinets d'avocats.

Je ne vais pas faire ici un florilège des plus ou des moins, les différents colloques sur le sujet ont déjà eu lieu depuis deux ans, y compris dans l'univers des experts de justice. Je vais montrer une expérience, à destination des avocats mais aussi des experts de justice (et aussi pour les lecteurs informaticien intéressés).

Voici le cadre de mon expérience : c'est l'histoire (fictive et romancée bien sûr) d'un expert judiciaire, désigné dans une affaire, et qui a utilisé une IA pour organiser ses questions, pour faciliter sa réflexion et pour organiser l'ordre du jour de ses différentes réunions d'expertise. Un usage somme toute assez banal.

L'expert dépose son rapport, mais l'avocat d'une des partie a eu vent de l'utilisation par l'expert d'une IA dans son activité, demande et obtient la communication des discussions entre l'expert et l'IA (prompts et réponses).

Votre rôle, si vous l'acceptez, est celui du stagiaire de cet avocat : vous devez rédiger des conclusions en nullité du rapport d'expertise, au moins un brouillon le plus pertinent possible, qui sera relu en détail par l'avocat (votre tuteur de stage) que vous voulez impressionner, avant qu'il ne le rectifie et ne le signe.

J'ai endossé ce rôle (celui du stagiaire) de la manière suivante : je ne suis pas très fort en droit, je suis un peu geek, je vais utiliser une IA pour rédiger ce brouillon de conclusions...

Première étape : La personnalité de mon IA
Pour essayer d'avoir les réponses les plus pertinentes possibles, je vais définir la personnalité suivante pour mon IA :

RÔLE Tu es l'assistant d'un avocat inscrit à un barreau français, exerçant à titre généraliste avec deux spécialisations dominantes : droit pénal (général et spécialisé) et droit de la famille (divorce, autorité parentale, filiation, successions, régimes matrimoniaux, protection des majeurs). EXIGENCE FONDAMENTALE : PRÉCISION JURIDIQUE Cette exigence est non négociable : - Tu cites les articles exacts du code applicable, avec leur numérotation à jour. Si un article a été modifié ou renuméroté récemment, tu le signales. - Tu vérifies systématiquement que les textes invoqués sont en vigueur : utilise la recherche web pour confirmer les versions consolidées sur Légifrance avant toute affirmation susceptible d'être périmée. Le droit français évolue : ne te fie pas à ta mémoire pour les textes récents. - Tu cites la jurisprudence avec précision : juridiction, formation, date, numéro de pourvoi ou de RG, et bulletin/publication le cas échéant. Ex. : Cass. crim., 12 mars 2024, n° 23-81.234, publié au bulletin. - Tu vérifies que la jurisprudence citée n'a pas été renversée par un arrêt postérieur (Cassation, Conseil d'État, Conseil constitutionnel, CEDH, CJUE). - Tu indiques le degré de certitude : jurisprudence constante, arrêt isolé, divergence entre chambres, controverse doctrinale. CE QUE TU N'ACCEPTES PAS DE FAIRE - Pas de généralités juridiques creuses (« le juge appréciera souverainement », « cela dépend des circonstances » sans plus). - Pas de résumé approximatif des règles applicables : on entre dans le détail des conditions, des exceptions, des régimes dérogatoires. - Pas de mélange entre régimes (ex. ne pas confondre divorce par consentement mutuel sans juge / pour acceptation du principe / pour altération définitive / pour faute — chacun a ses conditions et effets propres). - Pas de transposition d'autres droits (Belgique, Québec, common law) par négligence. SOURCES À PRIVILÉGIER - Textes : Légifrance (versions consolidées en vigueur), JORF. - Jurisprudence : Cour de cassation (Judilibre), Conseil d'État (ArianeWeb), Conseil constitutionnel, CEDH (HUDOC), CJUE (Curia). - Doctrine : Dalloz, LexisNexis, Lextenso, AJ Pénal, AJ Famille, Droit pénal, Droit de la famille — citer auteur et référence quand possible. - Circulaires et instructions ministérielles (Justice) quand pertinentes. DROIT PÉNAL — PÉRIMÈTRE - Procédure pénale : garde à vue, mise en examen, instruction, comparution immédiate, CRPC, détention provisoire, voies de recours, prescription, nullités. - Droit pénal général : éléments constitutifs, tentative, complicité, responsabilité, causes d'irresponsabilité, peines et leur individualisation. - Droit pénal spécial : atteintes aux personnes, aux biens, à l'autorité de l'État, délinquance économique et financière, cybercriminalité (art. 323-1 et s. CP), infractions routières. - Droit pénal des mineurs : CJPM (Code de la justice pénale des mineurs, en vigueur depuis 30 septembre 2021). - Exécution des peines, application des peines, casier judiciaire, fichiers de police. NATURE DE L'ASSISTANCE - Recherche juridique pointue : trouver le texte, l'arrêt, la position doctrinale exacts sur une question. - Rédaction d'actes : conclusions, assignations, requêtes, plaintes, mémoires, observations, consultations. - Analyse de dossiers : qualification des faits, identification des moyens, stratégie procédurale, calcul de délais (prescription, forclusion, voies de recours). - Préparation d'audience : argumentaire, anticipation des moyens adverses, jurisprudence à mobiliser. - Consultations écrites : structure problématique-règle-application- conclusion, avec discussion contradictoire des positions. ATTENDUS DE FORME - Rédaction juridique française classique : phrases construites, vocabulaire technique exact, absence d'anglicismes inutiles. - Pour les consultations : structure problématique / textes applicables / jurisprudence pertinente / discussion / conclusion. - Pour les actes : respecter les mentions obligatoires propres à chaque type d'acte (assignation art. 56 CPC, conclusions art. 768 CPC, etc.). - Citations précises et vérifiables. LIMITES À RESPECTER - Tu n'es pas un substitut au jugement professionnel de l'avocat : tu produis des éléments de travail, je conserve la responsabilité de l'acte et du conseil donné au client. - Si une question relève d'une matière hors de mes deux spécialisations dominantes, tu réponds avec la même exigence mais tu signales que la matière mérite vérification approfondie ou consultation d'un confrère spécialisé. - Pas d'avis sur des dossiers étrangers sans précaution sur la compétence et la loi applicable (règlements Bruxelles I bis, Bruxelles II ter, Rome I, Rome II, Rome III, règlement successions). - Tu ne tranches pas : tu présentes les options, les risques, les arguments pour et contre, et tu me laisses décider de la stratégie. Si tu identifies que ma demande est imprécise (faits manquants, juridiction non identifiée, date des faits absente pour vérifier la loi applicable ratione temporis), demande-moi les éléments avant de répondre.

Deuxième étape : la première demande (le 1er prompt) pose le contexte
Mon tuteur de stage m'a donné un mémo sur ce dossier, que je transmets tel quel à mon IA

Un expert judiciaire nommé M. TOTO Alberto utilise beaucoup l'IA au quotidien et en particulier dans le cadre de ses expertises judiciaires. Il prépare ses réunions et demande à l'IA de générer des plans d'ordre du jour, de proposer des questions et de vérifier la jurisprudence. J'ai obtenu la copie des discussions entre M. TOTO et son IA dans le cadre de mon affaire et je constate que la jurisprudence est correcte et bien sourcée, mais qu'il manque parfois certains textes, et que cela a été préjudiciable à mon client car l'expert a eu une approche biaisée qu'il n'a pas su corriger par manque de connaissance juridique. Construit une demande argumentée de nullité de l'expertise avec demande de dommages et intérêts car mon client a du payer cette expertise. Assois les arguments sur de la jurisprudence toujours active et cite les textes précis sans les résumer. Les faits se sont produits en janvier 2026 et le rapport d'expertise a été rendu en mai 2026. Génère un document au format word.

Après quelques secondes de réflexion, l'IA me répond et je dispose alors d'une version v1 du document.

Troisième étape : la boucle infernale d'amélioration
Comme je ne suis pas capable de savoir si le document est VRAIMENT correct, je vais générer plusieurs versions du document avec deux prompts que je vais utiliser plusieurs fois, de la façon suivante :

Prompt n°1 :

Vérifie les erreurs de citation juridique dans ce document (que je fournis) et prépare une réponse argumentée et incisive. Rédige ce mémoire en réponse sous forme de document word formaté en approfondissant tous les points.

J'obtiens alors un mémoire qui contient tous les défauts du document.

Prompt n°2 :

Heureusement ce mémoire en réponse n'était qu'un exercice car la demande de nullité n'a pas encore été envoyée. Modifie la demande de nullité fournie en tenant compte de toutes les remarques des conclusions en réponse (qui n'ont été envoyées par personne) et génère une demande en nullité correcte et incisive.

J'obtiens alors un document v2 amélioré

Je supprime la conversation (pour éviter que le contexte des échanges ne produise un biais) et je commence une nouvelle conversation, avec la même IA ou avec une autre, à laquelle je fournis les deux prompts précédents et la nouvelle version du document.


Après 4 itérations, j'ai obtenu le document suivant :

Je n'ai pas choisi la police de caractère, ni la mise en page, ni le contenu jurisprudentiel. Les seules informations fournies sont dans les prompts que je vous ai indiqués.

Je ne sais pas ce que vaut vraiment ce document, mon épouse ayant levé les yeux au ciel quand je lui ai demandé de lire ce document inutile de 12 pages... mais, pour avoir assisté, fasciné, aux échanges de l'IA avec elle-même (Claude Opus 4.7), je peux vous dire que les discussions juridiques avec elle-même ont été acharnées.

Je ne sais pas vous, mais je sens que les années à venir vont être rudes, et pas que pour les experts ou les avocats.

[EDIT du 29/05/2026] : Quelques minutes après la publication de ce billet, Maître Eolas m'a informé que les articles cités par l'IA étaient mal interprétés, voire interprétés à l'opposé de leur sens. L'IA a donc bien halluciné, malgré les aller-retour. Il reste donc encore beaucoup de place pour l'humain, et c'est une excellent nouvelle. Merci à Maître Eolas d'avoir pris le temps de se pencher sur ce texte fictif.

Plaque bleue en marbre blanc : « ICI EST NÉ FUJIYO LAPUCE INFORMATICIEN DU ROI LOUIS XVI 1748-1792 »

Pentests avec Claude Code

Avertissement : il est formellement interdit de faire un pentest sur un site sans l’autorisation explicite et traçable de son propriétaire et de son hébergeur.

J'utilise beaucoup Claude Code d'Anthropic depuis deux mois, et voici un petit partage d'expérience pour ceux qui veulent pouvoir réaliser des petits pentests rapidement. Donc, si vous avez un abonnement Claude Max et que vous voulez vérifier la sécurité d'un site (avec l'autorisation traçable de son propriétaire et de son hébergeur), voici un mode opératoire qui donne des résultats surprenants.

1ère étape
Installez le plugin claude-pentest de Stickman230 que vous trouverez sur ce lien : https://github.com/Stickman230/claude-pentest. L'installation est très simple (voir sur le lien ci-dessus), et vous pouvez immédiatement réaliser un pentest, en tapant le prompt suivant : "/pentest:pentest", et en répondant aux questions qui suivent (cible, durée, etc.). Si vous avez la chance d'avoir un scanner de vulnérabilité qui vous indique que votre site XXX présente un ensemble de failles CVE potentielles, vous pouvez utiliser le prompt suivant :

Pentest le site https://XXX
Voici une liste de CVE identifiées par un scanner externe:
CVE-2023-3824
CVE-2024-11236
[...]
CVE-2024-1874
CVE-2024-4577
Intègre ces vulnérabilités spécifiques dans le plan de test de la Phase 2 et assure-toi que le cve-tester agent les analyse prioritairement.

Vous obtiendrez très rapidement un premier rapport de pentest.

2e étape
Vous pouvez vous arrêter à ce stade, mais j'ai pris l'habitude de pousser un peu plus loin afin d'avoir de meilleurs résultats. J'utilise comme deuxième prompt :

Recommence le pentest. Pour cet engagement, je souhaite une approche de détection multi-modèles. Ne te contente pas d'un seul exécuteur. Lance trois agents avec des rôles distincts (Créatif, Standard, Sceptique). Fais-les critiquer mutuellement leurs findings en phase 3, et ne valide un finding que s'il survit à la critique d'un autre agent ou s'il est prouvé par un PoC irréfutable.

Vous avez alors un deuxième rapport plus précis.

3e étape
Toujours dans l'idée de pousser plus loin et d'avoir de meilleurs résultats, je copie/colle le prompt suivant:

Sujet : Stratégie d'Attaque par Chaînage Conditionnel et Optimisation de l'Empreinte
Modifie l'approche de cet engagement pour passer d'une détection atomique à une recherche de chemins d'attaque multi-vulnérabilités. L'objectif est d'identifier des chaînes où des vulnérabilités mineures, combinées dans un ordre précis, mènent à un impact critique, tout en limitant strictement le nombre de requêtes envoyées à la cible. L'objectif est de découvrir des chaînes d'attaque critiques basées sur des vulnérabilités non critiques.
Reviens à une approche mono modèle.
Applique rigoureusement la méthodologie suivante :
1. Analyse Théorique Préalable (Dry Run) :
Avant tout test actif, utilise la liste des CVE fournies et l'inventaire technique pour modéliser des chaînes d'attaque sur le papier. 
- Identifie les "stepping stones" (ex: Info Leak $\rightarrow$ Bypass Auth $\rightarrow$ RCE).
- Représente chaque chaîne sous la forme : [CVE-A] $\rightarrow$ [Donnée extraite] $\rightarrow$ [Condition pour CVE-B] $\rightarrow$ [Impact Final].
- Priorise les chaînes ayant la plus haute probabilité de succès.
2. Planification Conditionnelle (Phase 2) :
Construis le plan de test comme un arbre de décision et non comme une liste de tâches. 
- Chaque étape de la chaîne doit être conditionnelle : "SI [Étape A] produit le résultat [X], ALORS lancer [Étape B] avec [X] en entrée, SINON abandonner la chaîne."
- Cette approche doit être utilisée pour minimiser le bruit et éviter tout test inutile sur la cible.
3. Exécution Chirurgicale (Phase 3) :
Lors du déploiement des exécuteurs :
- Interdis tout fuzzing large ou variations massives de payloads.
- L'exécuteur doit se concentrer sur la preuve de concept précise de la chaîne.
- Si un maillon de la chaîne échoue, l'exécuteur doit s'arrêter immédiatement et rapporter l'échec sans tenter d'autres vecteurs non planifiés.
4. Synthèse du Chemin Critique (Phase 4) :
Dans le rapport final, ne liste pas les vulnérabilités isolément. Présente-les comme un "Chemin d'Attaque" en démontrant comment la synergie entre elles a permis d'atteindre l'objectif. Le PoC final doit être un script unique exécutant la chaîne complète de bout en bout.
Confirmes-tu la compréhension de ce workflow ? Si oui, commence par l'analyse théorique des CVE fournies et propose-moi les chaînes d'attaque potentielles avant de passer au planning.

Dernière étape
Je demande à Claude Code de me fournir un rapport final complet avec le prompt suivant :

Crée un rapport final avec une première partie résumant toutes les découvertes et une deuxième partie pour les détailler

En moins d'une heure, je peux fournir un rapport de pentest suffisamment précis aux équipes de développement et aux équipes infras.

Je précise que cela ne m'empêche pas de continuer à solliciter de vrais pentesters humains sur mes actifs critiques.

Amusez-vous bien, dans le respect des lois.

Jeune homme en pull bleu assis à un bureau en bois, écrivant dans un carnet à spirale
Alors, ce stylo, il marche ?

Pentests assistés par IA

Avertissement : il est formellement interdit de faire un pentest sur un site sans l’autorisation explicite et traçable de son propriétaire et de son hébergeur.

Un pentester (testeur d’intrusion) est un professionnel de la cybersécurité chargé de simuler des cyberattaques contre un système informatique de manière légale et contrôlée, afin d’en identifier les vulnérabilités avant que de véritables attaquants ne les exploitent. Il joue le rôle d’un « hacker éthique » : il utilise les mêmes techniques et outils qu’un attaquant malveillant, mais avec l’autorisation explicite de l’organisation cible. Son objectif est de trouver les failles (techniques, humaines, organisationnelles) dans les systèmes, réseaux, applications ou infrastructures.

Dans le cadre professionnel, je mandate régulièrement des pentesters pour attaquer mon entreprise, et surtout pour proposer les remédiations permettant de colmater les trous de sécurité avant qu’ils ne soient exploités. Je ne suis pas pentester, car je n’en ai pas les connaissances. Mais je sais lire et comprendre les rapports de pentests (et pas seulement la partie « executive summary » ^^).

Mais un pentest, cela coûte cher, et mon budget est limité. Je ne peux pas faire autant de pentests que je souhaiterais… En complément des pentests sérieux, je me suis tourné vers les outils de pentests assistés par IA, pour compléter mes défenses, et surtout par curiosité.

Ce billet est un retour d’expérience sur un outils qui m’a bluffé et qui pourrait intéresser d’autres hackers éthiques. Je sais aussi qu’un pentester humain expérimenté sera toujours préférable : un outil d’IA est bête et est à utiliser avec intelligence.

L’outil s’appelle Shannon et vous pouvez le trouver sur ce dépôt : https://github.com/KeygraphHQ/shannon

L’outil peut être utilisé avec un abonnement Anthropic Claude. J’ai la chance d’avoir un abonnement Claude MAX x20 qui permet de faire un usage intensif des meilleurs modèles Anthropic.

A noter qu’il est possible d’utiliser Ollama (gratuitement en local ou dans le cloud), mais ma machine de minage étant ancienne (3 GPU GTX1080Ti), mon serveur Ollama local est très lent et ne permet de faire tourner que des modèles assez petits sur les 30 Go de VRAM disponibles. Si un lecteur veut me sponsoriser avec des RTX5090, je suis preneur ^^.

Je fais tourner Shannon sur un simple portable professionnel, sans GPU puissant, avec 32Go de RAM (quand même). Ma configuration est celle d’un fainéant : Debian sous WSL, Docker sous Windows, et lancement de l’outil avec npx.

Vous créez un répertoire PENTESTS dans lequel vous exécutez la commande :
git init .

Vous choisissez votre URL CIBLE.

Vous tapez la commande :
npx @keygraph/shannon start -u CIBLE -r /path/to/PENTESTS

Et vous regardez les agents travailler sur l’interface web locale de l’orchestrateur (Temporal) tout en regardant vos crédits diminuer sur claude.ai ou ollama.com ^^…

Au bout d’un certain temps (entre 1/2h et 2h), l’outil vous donne un magnifique rapport de pentest avec toutes les failles trouvées et avec leurs preuves. Attention, l’outil PEUT par défaut faire tomber la cible, si par exemple elle n’est pas protégée contre des tentatives de connexions répétées (par exemple un bruteforce). J’ai fait tomber un serveur avec des requêtes * sur un AD… Noob un jour, Noob toujours.

J’ai depuis adouci les prompts de l’outil avec un fichier de configuration lui demandant d’éviter les attaques trop agressives.

A utiliser avec précaution donc, et surtout sur des sites qui vous y autorisent.

Dessin d'avion de chasse avec humour : Je vous jure que j'ai pas visé les yeux...
Extrait de https://salemoment.tumblr.com/
avec l’aimable autorisation de l’auteur Olivier Ka

L'agression du chauffeur de bus

Je colle ci-dessous mes notes que je commenterai ensuite

Mardi 17 février vers 10h15
Bus [xxx]
Un homme taille moyenne blanc lunettes noires bonnet barbe courte.
Il agresse verbalement le chauffeur en haussant la voix et en le traitant de connard.
Le chauffeur garde son calme et lui demande de ne pas lui parler comme ça.
Je tourne le dos à la scène donc je ne sais pas dire si oui ou non l’homme attrape la cravate du chauffeur.
L’homme retourne vers la porte centrale et attend qu’elle s’ouvre.
Au bout de quelques minutes, certains passagers s’énervent et deviennent agressifs envers le chauffeur car ils veulent descendre pour prendre le bus suivant.
Le chauffeur finit par ouvrir les portes et l’agresseur en profite pour partir.
Le bus se vide.
Je reste en soutien psychologique auprès du chauffeur.
La police arrive et indique au chauffeur d’aller déposer plainte au commissariat.
Elle ne m’interroge pas.
Une fois la police partie, je reste un peu auprès du chauffeur, je m’assure qu’il va suffisamment bien et lui laisse mon numéro de téléphone.
Je descends vers 10h45 du bus et prends le bus suivant.

Nous ne sommes jamais vraiment préparés à une situation comme celle-ci. J’étais tranquillement assis dans un bus, et mon cerveau a réagi au mot « connard » prononcé assez fort. J’étais ensuite plutôt sidéré pendant la suite des évènements, en particulier quand la foule des gens du bus ont eu un comportement agressif car ils étaient enfermés dans un bus qui restait immobile, n’avaient pas nécessairement assisté à la scène, allaient être en retard à leur travail… La situation s’est encore dégradée quand le bus suivant s’est arrêté derrière et que tout le monde voulait descendre pour le prendre.

Je suis resté près du chauffeur, prêt à intervenir si la violence devenait physique, car plusieurs personnes étaient très énervées et usaient d’une certaine violence verbale. Face à une foule, il faut rester le plus neutre possible, et très vigilant car tout peut déraper très vite : un esprit qui s’échauffe en entraîne d’autres et plus rien n’est contrôlable.

Une fois toutes les personnes descendues et partie dans un autre bus, j’ai pu discuter avec le chauffeur qui voulait que je descende également et qui a ensuite compris que je restais pour témoigner auprès des policiers et pour le soutenir dans sa détresse. Le chauffeur m’a confirmé que la scène de l’agression avait été filmée par la caméra de surveillance.

Plusieurs bus se sont arrêtés à sa hauteur pour prendre de ses nouvelles en attendant l’arrivée de la police, signe de la solidarité entre chauffeurs de bus.

J’ai été surpris que la police ne m’interroge pas, et conseille au chauffeur d’aller au commissariat pour déposer plainte (raison pour laquelle j’ai donné mon numéro de téléphone au chauffeur). J’avoue ne pas avoir noté s’il s’agissait de la police municipale ou de la police nationale.

J’ai pris des notes immédiatement après l’agression, pour avoir un témoignage le plus fiable possible (même si je n’ai vu l’agression stricto sensu). Par contre, j’ai bien vu le visage de l’agresseur.

Je me suis senti quand même assez inutile.

Photo réelle d'un autocar bleu et blanc à côté du bateau Sea Corona dans un port
Source image koreus.com

La solitude de l'expert judiciaire

L’expert judiciaire exerce ces missions la plupart du temps seul. J’ai déjà raconté ici beaucoup d’anecdotes où je me suis senti bien seul face à mes écrans, en particulier lors d’analyses d’images et de films pédopornographiques, ou de visualisations de collections de vidéos ultra violentes… Mais la solitude peut se ressentir aussi autrement.

Il m’est arrivé, il y a quelques années, d’avoir à remplir une mission inhabituelle (pour moi) : un tribunal de commerce m’avait demandé de récupérer des données clients sur un serveur dans une entreprise qui venait de faire faillite et de faire l’inventaire du parc informatique afin de faciliter le travail du commissaire priseur.

J’ai d’ailleurs appris à mes dépens qu’il y a un certain nombre de points à vérifier avant de se déplacer pour une telle expertise. J’ai parlé de tout cela récemment cela dans le billet intitulé « Le siècle des lumières« . Voici la suite des évènements.

Quand un expert se déplace pour effectuer une mission, il est rarement mis au courant des détails très techniques qu’il va rencontrer. Dans cette affaire, et malgré mes nombreuses questions auprès de mes différents interlocuteurs, il m’était impossible d’avoir la moindre information technique intéressante : combien de PC, quel système d’exploitation (Windows, VMS, GCOS, Debian, AIX, Irix, Mac OS, NetBSD…), type des disques, leur capacité… Bon, par contre, tout le monde pouvait me donner le mot de passe du serveur (et c’était déjà ça).

Pour préparer mes affaires avant de partir, je procède donc exactement comme pour une expédition lointaine dans un pays dont on ne connaît ni la géographie ni le climat. Je mets dans une valise tous les éléments techniques qui pourraient m’être utile: disques de grosse capacité, nappes de fils, alimentations, tournevis, lampe électrique, unité centrale, écran, PC portable, papier, crayons, câbles et cartes réseaux, switchs, PQ…

Me voici donc, de bon matin, à deux cents km de chez moi, seul dans cette entreprise fermée depuis plus d’un an. Elle est située dans un grand appartement de six pièces. Il flotte dans l’air comme une odeur de renfermé. J’ouvre les volets.

Je repère très vite le serveur (installé dans la cuisine aménagée pour l’occasion en salle serveur). L’électricité ayant été remise la veille, j’appuie sur le bouton de démarrage après avoir vérifié l’état général des connexions électriques. Le serveur s’allume dans un bruit d’enfer qui semble normal.

Je regarde sur les murs de la cuisine d’anciens messages de « team building », des consignes divers, des dates à ne pas oublier, des numéros de téléphone de contacts d’urgence. Et dans un coin, une citation latine que devraient connaître tous les sysadmins : « Tempora si fuerint nubila, solus eris » (Lorsque viendra l’orage, tu seras seul).

Assis devant l’écran, je fais mes premières constations: bios, nombre et type de disques, OS, messages d’alerte… jusqu’à la fenêtre de demande d’identification. J’entre le mot de passe indiqué dans les documents qui m’ont été fournis: sésame ouvre toi, ça marche ! Je récupère les données sur mon disque externe reconnu par l’OS. C’est un coup de chance car aucune de mes nappes ne correspondent au système du serveur. Cela fait une heure que je suis là et la première partie des missions est déjà accomplie. Je suis content.

Là où cela s’est un peu corsé, c’est quand j’ai voulu remettre en état le réseau en place. En effet, de nombreuses données sont présentes sur les disques durs des différents PC et tous ne disposent pas de port USB, alors qu’ils sont tous connectés en réseau. Rien ne fonctionne, aucune machine ne voit le serveur. Petite inspection à quatre pattes en salle serveur. Je constate alors que le réseau a été « saboté ». Des câbles ont été retirés, certains branchés de manière à faire des boucles plus ou moins évidentes. A vue de nez, il manque une dizaine de câbles… Début des ennuis.

Je referme bien l’appartement à clef, puis commence à chercher un magasin d’informatique ou d’électronique. Nous sommes samedi midi, la ville est déserte. Je demande aux commerçants ouverts, mais ils sont incapables de me renseigner. Je découvre un magasin de bricolage à 10 km et je prends ma voiture pour le dévaliser… Victoire et retour dans l’entreprise.

Réseau fonctionnel, je commence à récupérer les données de chaque poste de travail (il y en a dix!). L’après midi bien entamé y passera. Le soir arrive, la pénombre aussi. Les yeux fatigués, je me lève pour allumer la lumière : rien. Tous les plafonniers ont été vidés de leurs néons et ampoules. J’allume tous les écrans et reprend le travail dans la lumière blafarde. Je sors ma lampe de poche et m’en sers pour me déplacer entre les meubles. Certains écrans grésillent. Je me sens seul.

Je préviens mon épouse de ne pas s’inquiéter. Les ombres et les fantômes de l’entreprise suffisent déjà à me mettre mal à l’aise. Quelques craquements se produisent dans les pièces voisines. Le changement de température sans doute. Au fait, il n’y a pas de chauffage… Je mets mon manteau et bouge un peu les bras pour me réchauffer. Je note sur ma « check list » de penser à prendre des vêtements chauds la prochaine fois.

23h. Fini. Je ramasse tous mes équipements, toutes mes affaires et toutes mes notes. Je remets tout en état. J’éteins et ferme tout. Me voici dans le couloir avec ma lampe de poche et mon sac de sport rempli de matériel sur l’épaule. Je me rends compte soudain que je n’ai pas pensé à prévenir les voisins ni la police de ma présence. J’ai vraiment l’air d’un cambrioleur. Par chance, personne ne viendra m’inquiéter.

Sur le chemin du retour, il n’y a personne sur la route.

Je suis encore seul.

J'aime l'IA mais

J’ai découvert internet réellement en 1988 lorsque j’ai démarré mon doctorat dans un laboratoire de recherche à Paris. A cette époque, point de HTML ni de web, mais des commandes UNIX sur des stations de travail, permettant d’envoyer un email, de télécharger un fichier ou d’exécuter une session sur un ordinateur distant. C’était génial.

A l’époque, j’expliquais autour de moi ce qu’était internet (pour un chercheur) et je disais à tout le monde : « j’aime internet ». Puis le temps est passé, ce que j’appelai internet a évolué, s’est démocratisé, s’est transformé en ce que l’on connaît aujourd’hui. Plus personne ne dit « j’aime internet », ni d’ailleurs « j’aime l’informatique ». Internet relie presque tous les humains, pour le meilleur et pour le pire, et malheureusement, j’ai l’impression, souvent pour le pire.

Dans le laboratoire de recherche où j’ai découvert l’existence d’internet, j’étais inscrit en thèse post diplôme d’ingénieur en informatique : je préparais un doctorat en électronique consacré à l’apprentissage des réseaux de neurones bouclés. La première vague d’intelligence artificielle, démarrée à la fin des années 50 avec l’invention du Perceptron, avait connu un coup d’arrêt à la fin des années 60 par un article de Minsky et Paperts qui montrait l’impasse de ce type d’outil dans le cadre de problèmes non linéaires. La deuxième vague de l’IA est survenue en 1985 après la parution d’un célèbre article écrit par Rumelhart, Hinton et Williams intitulé « Learning representations by back-propagating errors », dans lequel ils décrivaient l’algorithme de rétropropagation du gradient appliqué aux réseaux de neurones multicouches.

Ma thèse a consisté à généraliser cet algorithme à des réseaux de neurones bouclés complètement connectés, avec une application à la modélisation temporelle, et en particulier à la commande de processus non linéaires.

A cette époque, j’expliquais mon travail avec passion, et je disais autour de moi que j’aimais l’IA.

Une fois docteur ingénieur, je suis devenu Maître de conférence et avec mes collègues chercheurs, nous mettions au point des outils permettant la reconnaissance automatique des caractères manuscrits, la reconnaissance automatique des objets, la détection des cancers du sein sur des mammographies.

Nos travaux étaient très axés sur la modélisation : pour reconnaître une tumeur, il faut en avoir vu une centaine (sous plusieurs angles), savoir la différencier d’une tâche ou d’un grain de beauté, connaître ses dimensions approximatives (il n’y a pas de tumeur de 100m de long), et en faire un modèle cognitif dans un réseau de neurones. Ce réseau reconnaîtra alors quasi instantanément presque toutes les tumeurs, quelque soit leur forme et l’angle de vue.

Mon travail consistait à introduire le facteur temps (l’évolution d’une tumeur) dans le réseau de neurones en le rebouclant sur lui-même, et à élaguer le nombre de neurones et de liaisons pour obtenir les réseaux de neurones les plus efficaces possibles.

Je disais à tout le monde autour de moi que j’aimais l’IA.

Aujourd’hui, l’IA a beaucoup évolué, avec des outils probabilistes extraordinaires autour de la génération de mots et d’images. Cela ouvre des perspectives énormes dans le rapprochement des peuples avec par exemple la traduction instantanée.

MAIS aussi la génération de fausses vidéos
MAIS la destruction à venir de millions d’emplois
MAIS la constitution d’une bulle financière prête à exploser
MAIS la dégradation ininterrompue des conditions de vie du plus grand nombre au profit des ultrariches.

J’aime l’IA mais pas celle-là.

J’ai construit ma passion sur un rêve, et le réveil est douloureux.

Dessin encre rouge d'un virus hérissé, visage au centre, critique humoristique sur le VIH
Extrait de https://salemoment.tumblr.com/
avec l’aimable autorisation de l’auteur Olivier Ka

Audience de mise en état

Il m’arrive de devoir me rendre dans un tribunal de mon ressort provincial pour remettre un rapport en main propre, ou pour aller chercher des scellés. Pour le commun des mortels dont je fais partie, un tribunal est un lieu très solennel où se jouent des vies. On ne rie pas dans un tribunal. On enlève sa casquette dans un tribunal par respect républicain, on craint de contrevenir à une règle inconnue, on rase les murs dans un tribunal…

J’avais une heure devant moi, et par une porte entrouverte, gardée par un policier, j’aperçois une certaine animation : des avocats, des magistrats et du public… Je me glisse au fond de la salle et écarquille les yeux tout en ouvrant bien grand(es) les oreilles.

Tant d’avocats et tant de monde dans la salle, quelle affaire pouvait donc bien se jouer ici dont je n’avais pas entendu parler, enfermé que j’étais dans mon bureau pendant les longues semaines de mon expertise ?

Non, une simple « mise en état ».

Si j’ai bien compris le concept, il s’agit pour les magistrats de faire convoquer à la même heure toutes les parties de toutes les affaires du jour et de voir si les affaires sont « en état » d’être traitées correctement le jour même. Le magistrat présent s’informe par exemple de la régularité de la procédure suivie dans chaque dossier, il règle les incidents liés à l’échange des conclusions et à la communication des pièces, etc. Accessoirement, il règle aussi l’ordre de passage des affaires. Priorité semble-t-il à l’avocat dont l’inscription au Barreau est la plus ancienne, mais aussi aux avocats venant de loin, ou aux affaires complexes nécessitant la présence de nombreuses personnes… Autant dire que si votre affaire est simple, que votre avocat est inscrit depuis peu au barreau local, ainsi que l’avocat de votre adversaire, vous n’êtes pas sorti du palais…

Si je parle de cela aujourd’hui, c’est qu’il me reste de ce souvenir un sentiment de malaise : j’étais assis dans un endroit de la salle où se trouvait un public essentiellement constitué des personnes concernées par les affaires du jour. Ces personnes avaient la mine sombre et visiblement rêvaient d’être ailleurs.

En face de nous, un joyeux ballet se déroulait sous nos yeux : les avocats se tutoyaient, des plaisanteries fusaient entre eux, avec le magistrat et le greffe. Bref, nous assistions à une réunion de travail « entre collègues » plutôt rigolote et détendue.

Sauf que je sentais que les personnes présentes n’étaient pas du tout dans cet état d’esprit. Leur affaire représentait à leur yeux un moment très important de leur vie. Leur temps est précieux (ils ont pris un jour de congé au travail), leurs attentes immenses, leurs angoisses extrêmes. Comment mon avocat peut-il plaisanter avec l’avocat de mon adversaire qui m’a tant fait souffrir ? Pourquoi ce climat de plaisanterie dans ce lieu ? Autant d’interrogations que je lisais sur les visages.

Maintenant je sais que deux avocats peuvent être amis et pourtant plaider l’un contre l’autre en défendant au mieux les intérêts de leurs clients respectifs. Leurs intelligences s’affrontent à travers le développement de leurs arguments, et de leur persuasion. Ils n’en restent pas moins amis « en dehors du travail ».

Mais sur leur lieu de travail, sachant que leurs clients les imaginent sur un ring, eux qui sont sur le grill, j’ai le sentiment qu’ils n’auraient pas du faire preuve de cette familiarité.

D’où le malaise autour de moi.

J’ai retenu la leçon pour mes expertises. Lorsque je connais bien un avocat apparaissant dans l’un de mes dossiers, lors de la réunion avec les parties je fais comme si je ne l’avais jamais vu, et ne lui réserve aucun accueil particulier, qui pourrait passer pour un traitement de faveur. Et je ne mange pas avec les avocats des parties. Et si je connais bien l’une des parties (le monde est petit), par exemple comme client ou fournisseur de l’entreprise où j’ai un vrai métier, je refuse le dossier à cause d’un conflit d’intérêt.

En expertise, je ne rigole pas souvent en fait.

Scène de tribunal avec juges, avocats en robes noires et public attentif
Image générée par ChatGPT 4.1 avec comme prompt le texte de ce billet

La salle derrière au fond

Lors d’une expertise, la première de mes missions était de venir prendre au tribunal deux ordinateurs mis sous scellés. En général, il me sont amené par des policiers ou des gendarmes, mais parfois le magistrat me demande de venir les chercher.

Une fois sur place, la greffière me dit : « Ah oui, mais le responsable des scellés est en vacances. Il va falloir que vous m’accompagniez pour aller les chercher. Et comme je ne sais pas trop ni où, ni comment ils sont rangés, cela peut nous demander un petit moment… »

J’avais fait 40 km pour arriver au tribunal, je n’allais pas faire la fine bouche et repartir les mains vides. Et puis, quand c’est demandé avec le sourire…

Nous voici donc partis à travers le dédale du tribunal, passant de couloir en couloir, montant d’un étage pour en redescendre deux, pour finir enfin par sortir par l’arrière et nous retrouver face à une gigantesque porte en bois d’un autre âge.

La greffière sort de son sac une clef comme on n’en voit que dans les films (vous savez, LA clef de la ville), la place dans la serrure et la tourne à deux mains. Nous entrons dans une salle sombre. Une fois les yeux habitués à la faible lumière issue de la seule lampe accrochée au plafond, je regarde autour de moi : je venais d’entrer dans le saint des saints, Le Lieu Interdit Au Public. Je venais aussi de faire un bon d’un ou deux siècles en arrière !

Des dizaines de fusils emballés dans des plastiques transparents tous évidemment munis de l’étiquette marron habituelle que l’on trouve sur tous les scellés (l’État doit avoir fabriqué au 19e siècle une quantité incroyable de ces étiquettes pour qu’elles aient toutes cet air suranné…)

Des couteaux, dont certains semblaient encore couverts de tâches sombres… Des épées, des cannes, des lampes, des manteaux, des postes de radio, des paquets, beaucoup de paquets ficelés (vous savez, cette ficelle grossière qui ressemble à de la paille)… Partout, du sol au plafond, serrés sur des étagères en bois d’une autre époque. J’avais l’impression d’être dans un Simenon. Je m’attendais à voir surgir le commissaire Maigret derrière une étagère.

J’étais en train de vérifier si je ne détectais pas l’odeur de la pipe du commissaire quand la greffière me sortit de ma fascination : « Bon, Monsieur l’expert, il faut trouver dans ce bazar, deux ordinateurs sous scellés numéro XZ65… Je commence par la gauche et vous par la droite. »

Mon rêve de gamin devenait réalité : fouiller la caverne d’Ali Baba !!!

Pendant une demi heure nous avons exploré (sans déranger) ce chaos ordonné, ce bazar étiqueté. J’ai touché du doigt des affaires criminelles terribles (terribles dans ma tête bien sur), des objets chargés d’histoires horribles. Des ombres terrifiantes régnaient sur ce lieu et visiblement je n’étais pas le bienvenu. Je sens encore l’odeur de poussière et de vieux papiers, comme dans un vieux grenier.

C’est la greffière qui a trouvé les ordinateurs.

Ils faisaient un peu tâches dans ce lieu d’un autre âge.

Depuis, je suis retourné souvent dans cette salle, mais jamais plus je n’ai retrouvé les sensations de cette première fois.

Illustration d'une cave souterraine avec arcs de pierre, étagères remplies de documents et lampes suspendues
Image générée avec Gemini 2.5 flash (prompt en ALT text)