Les Officiers de Police Judiciaire qui me contactent dans le cadre d’une enquête ont souvent de mon activité d’expert judiciaire une vision très particulière: je suis celui pour qui l’informatique n’a aucun secret.
C’est assez flatteur au premier abord, mais très stressant dès qu’il s’agit de ne pas décevoir les personnes qui vous font confiance.
Toute cette histoire commence comme d’habitude par un coup de téléphone: il s’agit d’intervenir dans une entreprise dans laquelle un salarié aurait commis une indélicatesse informatique.
Les OPJ me donnent quelques informations sur l’infraction, mais aucun détail technique: ni l’architecture du système informatique, ni le système d’exploitation utilisé, ni le nombre d’ordinateurs…
Me voici donc en route pour une destination technique inconnue.
Le fait de m’aventurer en terrain inconnu présente un certain charme sinon je n’aurais pas été passionné par la spéléologie, ni enseignant-chercheur, ni responsable informatique, ni responsable technique, ni conseillé municipal, ni papa de trois enfants… mais je suis quelqu’un de particulièrement inquiet de nature.
Je sais pourtant que l’inconnu fait parti de la vie. Je dirai même que c’est le sel de la vie. Oui, mais débarquer dans une entreprise pour chercher la trace d’une malversation sans connaitre le moindre élément technique reste pour moi une situation éprouvante.
Je n’aime pas particulièrement intervenir sur un lieu de travail, sous les yeux des salariés, en perturbant leur vie sociale. J’ai toujours l’impression de ne pas être à ma place.
Alors, et si mes collègues experts judiciaires qui le lisent veulent bien compléter cette liste, voici ce que je place dans ma valise:
– le boot CD d’analyse inforensique DEFT (ma distribution favorite depuis qu’HELIX est devenue payante);
– les outils de l’informaticien (tournevis de toutes tailles et de toutes formes)
– stylos et bloc notes (rien de plus gênant que d’avoir à demander sur place)
– un dictaphone numérique
– un ordinateur portable avec carte réseau gigabit et disque de grosse capacité pour la prise d’image en direct (perso j’utilise un disque dur SATA d’1,5 To dans un boitier externe USB, qui me sert également de « clef » USB)
– une lampe électrique, un bouchon 50 ohms et un connecteur en T (lire ICI pourquoi)
– quelques uns des outils conseillés par les dieux des réseaux universitaires
– le live CD d’ophcrack, c’est toujours impressionnant de trouver les mots de passe tout seul
– un câble réseau, un prolongateur et un câble croisé
– une boite de DVD à graver (et quelques disquettes formatées, cela sert encore…)
– une bouteille d’eau et un paquet de biscuits
[EDIT du 25/05/09 9h21 suite au commentaire de Stefan]
– un appareil photo
– un GPS
– du ruban adhésif toilé et résistant
– des élastiques de toutes tailles et des trombones.
– un clavier souple ne craignant pas l’humidité avec la connectique qui va bien.
– un tabouret en toile
– vis, patafix, colliers…
L’expert qui demande un trombone pour faire démarrer l’alim d’un PC passe pour un dieu. Celui qui ne trouve pas de trombone passe pour un c.n
[/EDIT]
[EDIT du 26/05/09 suite au commentaire de David Billard]
– disque eSATA (au lieu d’USB) ou mieux une tour sur roulette avec carte SATA adaptec + quelques disques vierges de rechange
– un ventilateur pour les disques
– une petite imprimante
– toute la connectique pour les organiseurs (Palms, Blackberry, iphone, etc.)
– des étiquettes / pastilles de couleur, des stylos et des feutres.
[/EDIT]
[EDIT du 27/05/09 suite au commentaire de Kilhian]
– un petit switch 10/100/1000
– un cable serie
– un cable usb
– une nappe IDE
– une nappe SATA
– des adaptateurs USB, SATA, IDE
[/EDIT]
Cela n’empêche pas la boule d’angoisse de se former lorsque l’on pousse la porte du lieu d’intervention (c’est une image, je suis loin derrière les forces de l’ordre).
Et bien sur, avant de partir en mission sur les lieux, ne pas oublier de demander s’il y a toujours de l’électricité. C’est une question qui fait toujours son petit effet…
Bon courage pour ce qui s’annonce être une rude journée.
Salut,
J’y ajoute en général ceci:
– un appareil photo (preuves avant/après, pour se souvenir des lieux, des gens présents ou pour des « captures d’écran », …)
– Un GPS (ça m’est arrivé de devoir bouger pour aller me nourrir et d’avoir eu une frayeur en ne retrouvant pas mon lieu d’intervention!)
– Du ruban adhésif toilé et résistant. Ça sert à tout et peut sauver la mise (tenir en place des fils avec mauvais contact, un clavier cassé, une table bancale). Plus des élastiques de toutes tailles et des trombones.
– En parlant de clavier: un clavier souple ne craignant pas l’humidité avec la connectique qui va bien.
– Et quand j’y vais avec ma voiture, une chaise! Rien de plus pénible que d’arriver et de voir que les meubles ont déjà été enlevés et qu’on va devoir bosser à genoux! Sinon, j’ai un tabouret en toile (le siège des pècheurs) dans une valisette.
Plus tout un tas de vrac que ne renierait pas MacGyver et qui m’ont souvent sauvé la mise (vis, patafix ou chewing gum, colliers, …).
L’expert qui demande un trombone pour faire démarrer l’alim d’un PC passe pour un dieu. Celui qui ne trouve pas de trombone passe pour un c.n …
Bonjour,
Tout dépend de la taille de l’entreprise à visiter, mais il vaut mieux avoir une grosse voiture et prévoir à l’avance. Pour ma part, je changerais le disque dur USB pour du eSATA, autrement vous allez passer un temps fou au niveau des transferts. Sinon, beaucoup plus efficace : une tour sur roulette avec carte SATA adaptec + quelques disques vierges de rechange. Un ventilo (les disques, ça chauffe). En général je prends aussi une petite imprimante, c’est toujours apprécié par les huissiers ou les OPJ lorsque l’on peut directement leur sortir des éléments d’information. Ensuite toute la connectique pour les organiseurs (Palms, Blackberry, iphone, etc.). Bref, un mini-labo ambulant. Ne pas oublier des étiquettes / pastilles de couleur, des stylos et des feutres.
Note : pour Helix vous avez un fork gratuit ici : https://forum.charlestendell.com/
C’est encore en beta, mais pas si mal. Sinon vous avez aussi la possibilité d’utiliser des bloqueurs.
Prenez vous une pièce d’identité ? une carte professionnelle par exemple.
@Anonyme: Je prends toujours une pièce d’identité, et il arrive que les OPJ la demande, ce que je trouve parfaitement normal, surtout lors des interventions délicates.
– Trombone oui… ou piece de monnaie pour booter/devicer un rack trop pres du mur…
– Hub 10/100 quand l’armoire réseau a été vidée ou l’orage de la veille a grillé l’alim du switch…
– 1 cable serie/ usb/ IDE /SATA
– Adaptateur USB/ SATA/ IDE
– La mini valise à roulette fait serieux, le sac à dos fait plus Jack Bauer :p
Vous pouvez jeter un œil sur CAINE: https://www.caine-live.net/index.html
LiveCD intéressant orienté Forensic.
Je ne suis pas expert, mais j’ai souvent du jouer les Sherlock Holmes ou le Sauveur du fichier perdu..
Zythom,
Vous avez encore oublié de parler du contenu « extra professionnel » de votre valise d’intervention :
– le joli dessin que votre enfant vous a tendrement confié le matin avant de partir en mission
– le pique-nique que madame Zythom vous a préparé avec attention
– les vieux chewing-gum usagés qui traduisent les missions particulièrement longues est stressantes (les récupérer, ça fait plus sérieux que de les coller sous la table de l’ordinateur que vous expertisez)
– les photos de votre dernier week-end en famille
Certes, ce sont des détails, mais ils ont leur importance pour la motivation et le courage de l’expert en pleine action, et ça rassure, surtout lorsqu’il s’agit d’une personne de nature inquiète !
Je parcourrais cette page : https://www.tech-faq.com/fr/how-to-pick-ecluses.html qui donne de bons conseils sur l'équipement et la façon de l'utiliser en cas de porte close, ça fait plus classe et c'est plus rapide que de demander à l'OPJ de faire venir un serrurier.
Je rajouterais de la caouèche, qui ne sert pas qu'aux plongeurs sout.
Est-ce qu'il existe un gadget USB qui puisse émuler un lecteur d'empreinte digitale ? Parce qu'en général, les utilisateurs de ces méthodes d'authentification, ne nettoient pas les traces de doigts sur les surfaces lisses de leur bureau. Si oui, prendre aussi de quoi relever et numériser des empreintes.
De mon côté, je me sépare jamais d'une clé USB avec la suite d'outils KATANA (https://www.hackfromacave.com/index.html), pratiquement tout ce dont j'ai besoin se trouve dessus (hors EnCase).
Bonjour,
désolé de remonter un vieux thread mais si tous ont indiqué ce que le matériel que vous preniez (merci) aucun d'entre vous n'a indiqué le conteneur : sac à dos, valise à roues …. ?
Merci
Une mallette, un gros sac et un gros coffre de voiture suffisent…