Coup sur coup, trois personnes m’ont demandé si j’acceptais de répondre à leurs questions. Je me suis prêté au jeu et je me suis dit que cela pourrait avoir sa place ici, comme un retour d’expérience.

Jérôme tient le blog Genma et a mis en ligne ici un échange que nous avons eu par email. Je vous invite à aller le lire et a découvrir son blog par la même occasion.

La revue MISC m’a fait l’honneur de s’intéresser à mon activité d’expert judiciaire et devrait publier le résultat de nos discussions dans son prochain numéro. Je suis encore abonné à un très petit nombre de revues, celles que je considère comme indispensables: MISC, GNU/Linux magazine France et « Revue Experts« . Je suis d’autant plus fier d’avoir été contacté par MISC. A quand une interview dans Linux Mag et dans Revue Experts?

Enfin, voici l’interview d’Alban réalisée dans le cadre de son projet tutoré sur les infractions informatiques et les attaques informatiques possible sur un réseaux wifi, effectué à l’IUT d’Orsay.

———————————————-

Question: Expliquez votre rôle lors du déroulement d’une affaire judiciaire, le juge d’instruction vous confie divers matériels informatiques à expertiser avec une mission précise?

L’expert judiciaire peut intervenir dans de nombreuses procédures judiciaires, par exemple en matière commerciale ou dans une instruction. A chaque fois le rôle de l’expert est identique: il donne un avis indépendant au magistrat (qui est libre de le suivre ou de ne pas le suivre) en charge du dossier. Dans le cadre d’une instruction dans laquelle du matériel informatique a été saisi et mis sous scellé, le magistrat instructeur peut demander l’avis d’un expert judiciaire en informatique et lui confier les scellés. L’expert judiciaire doit alors répondre à des questions précises posées par le magistrat et mentionnées dans son ordre de mission. Dans mon cas, les questions sont souvent axées autour de la présence de fichiers d’un certain type. Dans ce billet, je donne un exemple de mission:

– Assister les services d’enquête du Commissariat de AAA au cours de la perquisition qui s’effectuera au NN rue YY à AAA et à la saisie du matériel informatique utile à la manifestation de la vérité;

– Prendre possession, dans ce même commissariat du scellé n°NN (PV n°NNNN/NNN) comportant les faux billets de 50 euros, portant le même numéro NNNNNNNNN, saisis par les services d’enquête au NN rue YY à AAA le NN mois NNNN;

– Analyser les faux billets ainsi que les contenus des disques durs, imprimantes et autres matériels informatiques utiles à la manifestation de la vérité, saisis;

– Dire si le matériel informatique saisi a été utilisé pour la contrefaçon, la falsification ou l’impression des faux billets saisis;

– Faire tous actes utiles à la manifestation de la vérité.

Question: Dans votre blog vous relatez une majorité d’affaires de pédo-pornographie, pensez-vous pour autant qu’internet est un repère de pédophiles?

Internet est un ensemble de réseaux informatiques reliés les uns aux autres. Ce n’est pas le seul, mais c’est le plus connu. De plus en plus de personnes dans le monde accèdent à internet, plus de 2 milliards d’après le site internetworldstats.com. Parmi ces personnes, il y a beaucoup de gens normaux, mais aussi des voleurs, des gangsters, des adorateurs du nazisme, des pédophiles, des zoophiles, etc. et cela dans des proportions qui doivent a priori être les mêmes que dans tout groupe d’êtres humains de très grande taille. Internet n’est pas un repère de pédophile, pas plus que ne l’est le réseau téléphonique ou le réseau autoroutier.

Il est par contre exact que j’ai écris beaucoup de billets sur des expertises judiciaires dans lesquelles j’étais missionné pour chercher sur des scellés des images de nature pédopornographique. Je vois à cela au moins deux explications:

– j’ai ouvert ce blog à fond noir pour évacuer par l’écriture le mal être que me cause ce type de dossier. En parler me fait du bien car je reçois le soutien de nombreux lecteurs. Je parle plus volontiers des dossiers qui me remuent que des dossiers qui concernent des litiges entre une SSII qui a mal gérée l’informatisation de sa cliente.

– sur l’ensemble des affaires que j’ai eues à gérer, les dossiers de recherche d’images pédopornographiques sont les plus nombreux. Il faut peut-être en chercher la cause auprès du garde des sceaux et des instructions qu’il donne dans les priorités des poursuites qui doivent être engagées.

Je pense que si j’avais été médecin, j’aurais sans doute écris beaucoup de billets sur des humains malades, sans pour cela qu’il faille en déduire que tous les humains sont tout le temps malades. Le fait que l’État poursuive en priorité les détenteurs d’images pédophiles échangées par internet ne signifie pas que tous les internautes sont des pédophiles. Même si certains politiques essayent de faire croire le contraire.

Question: Avez vous déjà réalisé des expertises pour des affaires d’infractions informatiques. Sont elles différentes des autres affaires?

Tous mes dossiers au pénal concernent des infractions informatiques supposées. Mais je soupçonne que derrière ce terme, vous voulez parler des cybercrimes, c’est-à-dire des infractions pénales commises au moyen d’un système informatique connecté à un réseau. Je suppose également que par « autres affaires » vous voulez parler de mes autres dossiers, comme par exemple des litiges entre un particulier et son vendeur informatique. La spécificité des cybercrimes est directement liée à sa définition: la présence d’un réseau (en général internet) présente rapidement un aspect international et donc l’intervention auprès de structures administratives, judiciaires ou commerciales étrangères. Les crimes concernés peuvent ne laisser que peu de traces à remonter (ou trop comme dans le cas des attaques DDOS). Un individu peut pénétrer un système à l’autre bout de la planète. Mais fondamentalement, chaque affaire est unique. Elles sont donc toutes différentes les unes des autres.

Question: Vous inspectez des disques durs, des GPS, avez vous été amené à étudier des équipements réseaux ou un système d’information dans son ensemble?

Oui, plusieurs fois. Je raconte dans ce billet une expertise dans une entreprise qui avait fermée. Je donne aussi un exemple d’analyse de messagerie faite in situ.

Question: Dans l’établissement ou vous travaillez, un accès internet est mis à la disposition des élèves, quels moyens avez vous mis en place pour respecter la LCEN et la conservation des logs de connexion?

Comme la plupart de mes collègues responsables informatiques, j’ai mis en place une charte informatique expliquant les règles d’usage de l’informatique de l’établissement et en particulier de l’accès internet. J’ai mis en place un serveur proxy SQUID transparent sur la passerelle de l’établissement pour relever les logs des accès internet. Ceux-ci sont croisés avec les adresses IP fournies par le serveur DHCP et les logs de connexion aux comptes informatiques. Ils sont ensuite stockés sur un serveur dédié pour être détruits automatiquement au bout de 12 mois. Par contre, j’ai toujours refusé de mettre en place un système de filtrage listes blanches / listes noires. Je compte plus sur la pédagogie et les explications que sur un système de blocage plus ou moins arbitraire et de toute façon très inefficace.

Question: Utilisez vous la technologie wifi dans établissement, si oui comment l’avez vous sécurisée?

Oui, comme dans toutes les grandes écoles d’ingénieurs, le wifi est maintenant un réseau indispensable. J’utilise un produit opensource qui s’appelle pfsense très facile à installer et qui de plus gère parfaitement le load balancing entre notre accès RENATER et une box ADSL. Toutes les bornes de l’établissement sont des bornes premiers prix non protégées. La connexion est donc très simple pour tous les équipements wifi. Une fois connecté sur le réseau wifi situé sur un LAN dédié, le lancement du navigateur déclenche une page web https spéciale gérée par pfsense et que l’on appelle « portail captif ». Il faut alors entrer ses login et mot de passe gérés par le LDAP de l’établissement (un AD Windows 2008 R2). Chaque étudiant (ou chaque chercheur) est responsable de son chiffrage (connexions https ou VPN privé) s’il souhaite protéger ses données qui passent « en clair » via les ondes radios wifi. Je dois reconnaître que la sécurité est loin d’être parfaite, mais elle me semble suffisante pour l’établissement.

Question: Votre fonction d’expert vous rend elle plus sensible dans votre rôle de responsable informatique?

La pratique des expertises judiciaires me plonge dans des affaires où des erreurs ont été commises. Il est évident que je tire les leçons à titre professionnel (et privé) de ces erreurs pour améliorer mon système informatique. L’exemple le plus parlant est celui des sauvegardes et des plans de reprise après incident. J’ai rencontré une entreprise qui a eu un sinistre dans sa salle serveur et qui était toute fière de disposer de toutes ses données sauvegardées, mais qui n’avait aucune solution pour les réinstaller (serveurs introuvables sur le marché, pas de machines de secours). J’ai également eu à gérer beaucoup de réunions d’expertise où la tension était palpable. Cette expérience me sert dans les situations de crise que je peux rencontrer dans mon univers professionnel. Être expert judiciaire, c’est aussi aller voir chez les autres comment cela se passe, quelles solutions ont été choisies, quelles méthodes sont utilisées. Et cela, c’est toujours enrichissant.

Bonne chance pour votre projet tutoré.

Cordialement,

Zythom