J’ai reçu il y a quelques jours un ordinateur portable de marque Apple.
Je n’aime pas analyser les portables, vous allez comprendre pourquoi.
La devise de l’expert judiciaire en informatique est celle d’Hippocrate : Primum non nocere, qui se traduit par d’abord, ne pas nuire ou plus généralement avant tout, ne pas nuire à la preuve.
Il faut donc être sur de ne pas endommager ou écrire sur le disque dur que l’on doit analyser.
Dans mon cas, je ne maîtrise pas de système simple pour booter un Apple ibook G4 sur cédérom pour une prise d’image à travers le réseau. Il me faut donc démonter le portable pour en extraire le disque dur afin de le placer sur mon matériel d’analyse.
La galère commence.
Première phase, trouver sur internet un site qui décrit le plus précisément possible le démontage. En l’espèce, il s’agit de l’excellent site aberco.free.fr/ibook/demontage1.html qui me sauve la vie.
2ème phase: la préparation des outils. Après avoir étudié le problème en détail, il s’agit de faire l’inventaire de tout le matériel nécessaire. Ici, j’ai besoin de plusieurs tournevis cruciformes très fins, de tournevis Torx et d’un tournevis mou (une brosse à dent limée). Je recommande également le rangement d’un vaste espace de travail, ceci pour placer les différentes vis extraites sur des croquis de remontage.
3ème phase: le démontage. Personnellement, j’ai mis quatre heures! En effet, le propriétaire du portable apprécierait peu que son matériel lui soit rendu avec des marques de démontage (d’où le tournevis mou) ou avec des pièces mal remontées. Il faut utiliser le bon tournevis pour chaque vis afin de ne pas marquer la tête (de vis). Il faut placer la vis démontée sur une feuille blanche sur laquelle on aura reporté un croquis de la machine, pour être sur de la replacer au bon endroit. Il faut travailler au dessus du plan de travail (et non sur ses genoux) pour qu’une vis malicieuse qui saute de son emplacement ne rebondisse pas dans un endroit inaccessible.
Il faut démonter 42 vis sur un ibook G4 avant de pouvoir extraire son disque dur… Et elles sont presque toutes différentes! Certaines sont cachées derrière des petits aimants. Et pour couronner le tout, avec l’évolution de la fabrication, le portable que je démontais n’était pas exactement comme celui du site internet: certaines vis manquaient et d’autres, surnuméraires, étaient vicieusement cachées.
Règles d’or: quand vous avez enlevé toutes les vis, il en reste une cachée quelque part. Ne pas forcer. Rester calme.
Pour compliquer le tout, des clips maintiennent certains éléments plastiques qu’il faut forcer… mais pas trop.
Quatre heures, je vous dis!
Mais l’analyse en valait le coup…
PS: J’ai oublié de dire qu’il m’avait également fallu 4 heures pour remonter l’ensemble des pièces, avec quelques frayeurs quand je n’avais pas correctement repéré le trou dans lequel la vis devait être remontée (surtout vers les premières étapes du remontage).
J’en ai profité pour enlever la poussière accumulée sous le clavier et pour passer un coup de chiffon sur le parebrise.
Primum non nocere
Imaginons que vous ayez été obligé de casser quelque chose afin de mener à bien votre expertise, que se passe t il pour le propriétaire de l’objet ?
*Il doit en faire son deuil ? (et ce particulièrement si il est le « méchant » de l’histoire
*Votre responsabilité est engagée ?
*Celle de l’Etat ?
Je ne parle pas ici de casse involontaire ou d’un mauvais remontage: il me semblerait logique dans ce cas que votre responsabilité soit engagée ?
Pour tout ce qui est Apple, il existe un site merveilleux, une véritable mine d’or. C’est https://www.ifixit.com/Guide/
Ce site propose le démontage d’une quantité astronomique de modèles, avec pleins de photos rassemblées dans des PDF, les outils nécessaires à chaque fois, des feuilles avec des petites cases pour poser les vis, et les variantes qu’ils ont rencontré (vis en plus ou en moins).
Et pour les ibook, je confirme, il faut des heures; j’ai mis 4 ou 5 heures pour changer le disque dur du mien.
@torp: je n’ai jamais été obligé de casser quelque chose pour mener à bien une expertise. Si un jour, un démontage s’avère problématique, je contacterai le fabricant, au besoin aidé du magistrat en charge du dossier. Par ailleurs, je n’ai (encore) jamais endommagé un bien d’autrui (une fois je n’ai pas remonté complètement, j’en parlerai un jour). Si cela m’arrive, ma responsabilité sera engagée. Je paye (très cher) une assurance pour cela.
@sébastien: merci du lien. J’en prends bonne note d’autant qu’il va me falloir bientôt m’attaquer à un ipod…
Il existe des utilitaires pour faire des images disques chez Apple, pourquoi ne pas en avoir employé un ?
combien coute une assurance d’expert ?
@marc: parce que ma plateforme de travail est sous Windows/Linux. Mes logiciels d’investigation sont sous ces OS. Dans la mesure où j’ai peu de matériel Apple à expertiser, je n’ai pas développé de compétences d’analyse directement dans l’environnement natif Mac OS. Après tout, il me suffit de placer le disque dur sur ma plateforme d’analyse et le tour est joué. Il « suffit »…
@anonyme: très cher si vous vous assurez seul. Moins si vous passez par une compagnie. Pour les tarifs précis, passez voir la compagnie pluridisciplinaire de votre Cour d’appel.
je plussoie, internet regorce de mode d’emplois avec photos pour démonter son laptop.
J’en ai fait l’expérience plus d’une fois, tout en dessinant le plan de l’ordi avec les vis scotchées dessus aussi.
Mais cela ne met pas à l’abri de la malédiction de la p’tite vis en plus;
j’en avais fait une petite histoire illustrée sur mon blog
via ce lien, pour ceux que cela intéresse, sans vouloir faire de la pub trop éhontée:
https://my.opera.com/pfelelep/blog/show.dml/488486
« J’en ai profité pour enlever la poussière accumulée sous le clavier et pour passer un coup de chiffon sur le parebrise ».
Le pourboire, c’est le propriétaire de l’objet ou le magistrat qui vous le donne ?
@pfelelep: Excellent! +2! Et au passage, je découvre la signification de l’expression « je plussoie«
@vulguspecum: Je peux vous assurer que je n’ai jamais fait le coup du « j’en ai profité pour changer les filtres et faire la vidange » avec le coup de massue derrière…
Je confirme la recommandation en matière de démontage (surtout de laptop) : faire un plan systématique de la position et du type de chaque vis.
Vu l'âge de l'article vous avez sûrement trouvé une solution plus sympa pour les portables Mac depuis… mais au cas où… il suffit de démarrer la machine en "target disk mode" ce qui fait qu'elle se comporte simplement comme un boîtier externe avec un disque dur (en revanche c'est du FireWire, ça ne marche pas via les ports USB, donc il faut un ordinateur avec du FW en face pour le "monter"). Si cela peut vous être utile à l'avenir… 🙂 Cela marche aussi avec les nouveaux et leur Thunderbolt mais il faut du thunderbolt sur la machine hôte.