Depuis deux ans, j’accepte les expertises privées commandées par des avocats. Il s’agit essentiellement de contre expertises. Les dossiers que je découvre alors sont analysés en profondeur, tant du point de vue procédure, que du point de vue technique. Et parfois, j’ai des surprises…
Léo Tyrell est informaticien, et comme souvent, la récupération de données est une demande récurrente de son entourage. A force de pratiquer, les différents outils disponibles sur internet n’ont plus aucun secret pour lui. Il est passé Maître dans l’utilisation de PhotoRec, Recuva, PC Inspector File Recovery et autres Glary Utilities.
Plus il dépanne son entourage, et plus Léo se dit qu’il existe là certainement un marché intéressant. Il décide de créer un site internet présentant ses compétences et ses tarifs. Il s’intéresse également de près à des logiciels beaucoup plus sophistiqués, utilisés par les services d’enquêtes en tout genre: EnCase Forensic, AccessData Forensic Toolkit, X-Way Forensics…
Un jour, pour une raison qui m’échappe, M. Tyrell est contacté par un juge d’instruction qui souhaite lui confier une mission. Comment le magistrat a-t-il pris connaissance de l’existence de Léo Tyrell, nul ne le sait. Par Internet probablement, ou qui sait, par le bouche à oreille.
C’est pour lui une consécration, une reconnaissance de ses compétences. Il va pouvoir mettre son savoir faire au service de la justice.
Le magistrat lui explique au téléphone qu’il travaille sur une affaire de diffamations et injures publiques sur des forums de discussions, que des ordinateurs ont été saisis, et qu’il aimerait que ceux-ci soient analysés pour retrouver le ou les auteurs des messages inappropriés. M. Tyrell, trop heureux de la reconnaissance implicite de son savoir faire, accepte avec enthousiasme.
Il reçoit quelques jours plus tard un courrier officiel du juge d’instruction avec pour mission de:
– Bien vouloir analyser les scellés UN et DEUX du PV n° 1234/5647 du SDPJ de Villevieille afin d’en extraire éventuellement des éléments constitutifs de la présente plainte;
– Faire toutes observations utiles à la manifestation de la vérité.
Comme indiqué dans le courrier du magistrat, Léo retourne le récépissé d’acceptation de mission et attend avec impatience de pouvoir récupérer les ordinateurs.
Quelques semaines plus tard, il est contacté par un Officier de Police Judiciaire pour prendre rendez-vous et venir chercher les deux scellés.
Une fois en possession des ordinateurs, il brise les scellés et démonte les disques durs à fin d’analyse. Il y trouve des emails de correspondance entre le suspect et le plaignant. Il découvre également des logiciels d’anonymisation et de VPN, utilisés probablement lors des accès aux forums de discussion.
Après quelques semaines de travail, il rend au magistrat un rapport qu’il pense brillant.
A ce stade du récit, je voudrais faire quelques remarques:
– M. Tyrell n’est pas expert judiciaire, car il n’est pas inscrit sur la liste des experts près la Cour d’Appel de sa région. Cela ne pose pas de problème particulier, car un magistrat n’est pas obligé de choisir un expert inscrit sur cette liste (à condition toutefois de motiver ce choix).
– La désignation d’un expert hors liste impose des précautions particulières: il est nécessaire qu’il ait conscience qu’il devra respecter une « déontologie » et les règles de procédure civile visées sous les articles 233 à 248, 273 à 281 et 282 à 284-1 du NCPC.
– Il devra également pouvoir justifier d’une garantie d’assurance suffisante couvrant une éventuelle mise en cause de sa responsabilité civile résultant de la mission.
– Le Code de Procédure Pénale impose la prestation de serment aux personnes non inscrites sur les listes d’experts judiciaire, à défaut par écrit (article 160). Dans le cas présent, la prestation de serment a eu lieu après l’ouverture des scellés, ce qui me semble curieux.
– L’expert nommé hors liste sera pour le reste soumis aux obligations communes à tous les experts et en particulier à la pratique de la déclaration d’indépendance. (ref Cour de Cassation).
– Enfin, l’intitulé de la mission couvre ici un champ particulièrement vaste. Sachant que l’expert désigné ne dispose que de quelques éléments du dossier qui lui sont transmis, il importe de contacter le magistrat pour se faire préciser la mission, voire se faire communiquer des pièces essentielles du dossier, comme ici par exemple, la plainte.
Afin d’analyser le travail effectué par M. Tyrell, l’une des parties me contacte et me transmet le rapport pour une contre expertise privée, entièrement à ses frais et sans garantie de pouvoir être exploitée en justice.
Mon travail commence. Il s’agit d’analyser le rapport d’expertise, d’en expliquer le contenu de manière pédagogique, et d’en effectuer la critique objective.
Dans cette affaire (romancée je le rappelle), beaucoup d’approximations ont été faites:
Sur les scellés:
– l’ouverture des scellés a été faite sans aucune précaution (pas de photographie, pas de description des contenus, pas de vérification des numéros de série, pas d’inventaire exhaustifs…).
– une liste de logiciels ayant servis à l’analyse des disques durs est bien fournie dans le rapport, mais aucune information n’est donnée sur le mode opératoire de l’utilisation de chaque logiciel.
– à aucun endroit n’est fait mention de bloqueur d’écriture, ni des précautions prises pour éviter de modifier les disques durs des scellés. Aucune somme de contrôle (hash code) n’a été calculée pour prouver la non altération des preuves.
Sur les dates d’accès internet:
– toutes les dates fournies dans le rapport font référence à la date du système d’exploitation. Mais celle-ci est-elle exacte? L’horloge du BIOS indique-t-elle une heure exacte? Le système heure d’hiver/heure d’été est-il actif? Y a-t-il eu altération de la chronologie des fichiers (par manipulation manuelle de l’horloge du système, ce qui n’est pas interdit)?
– les dates des fichiers n’ont pas été corrélés avec les dates indiquées dans les entêtes des messages emails. Aucune étude n’a été faite pour vérifier auprès des FAI que les accès constatés sur les forums correspondent aux dates fournies.
Sur les moyens techniques:
– le rapport confond compte informatique utilisé sur le PC et personne susceptible d’utiliser le compte (un membre de la famille, un ami…).
– l’un des ordinateurs est de marque Apple. Aucune mention spécifique n’est faite dans le rapport: pas d’indication sur le nom du système d’exploitation installé et sa version, pas d’état d’utilisation d’outils d’investigation spécifique à l’environnement Apple.
– le rapport cite trois logiciels commerciaux d’analyse inforensique fort onéreux. Est-il possible d’en connaître les numéros d’enregistrement de licences? (c’est un coup bas, mais il permet d’éliminer les guignols utilisant des logiciels crackés pour faire leurs investigations).
Sur le fond du dossier:
Les qualifications d’injure et de diffamation sont des notions juridiques précises que tout le monde ne maîtrise pas nécessairement. A Paris, la 17e chambre du tribunal correctionnel, dite chambre de la presse, est spécialisée dans ce domaine. C’est aussi le prétexte de billets savoureux…
Faute d’avoir demandé des précisions sur sa mission, l’expert part au
petit bonheur la chance dans l’exploration des données du disque dur,
avec des requêtes basées sur des expressions régulières de mots clefs
choisis selon l’état d’esprit de l’expert et non pas guidés par une
méthode rigoureuse. Les recherches semblent avoir été faites avec comme objectif de trouver des preuves accablant le suspect.
Le plaignant et le suspect étant manifestement en contact, tous les liens prouvant ce contact sont présentés comme étant des preuves de ce contact. La démonstration ressemble fort à une tautologie (100% des gagnants ont tenté leur chance!).
Aucune exploration n’est faite « in vivo », sur une copie du disque dur par exemple, ou dans une machine virtuelle. Ne sont pas cités les logiciels installés, en lien avec le dossier, et utilisés pour accéder aux forums de discussion.
L’utilisation d’un logiciel VPN, et d’une messagerie anonymisée n’implique pas l’intention de mal agir. Chaque internaute à le droit de chercher à protéger sa vie privée.
Conclusions:
Les « experts » voulant jouer aux experts judiciaires risquent eux-aussi la mise en cause de leur compétence devant la justice. A leurs risques et périls. Dans le cas présent, le rapport d’expertise a été écarté.
Enfin, chaque citoyen peut se voir accusé injustement d’un fait dont il est innocent. Beaucoup croient que la découverte de la vérité s’effectue « automatiquement » et « gratuitement » à travers des enquêtes sérieuses menées avec tous les moyens (humains et financiers) d’une justice moderne.
Ils se trompent lourdement.
—————————————————
Source photo megaportail
Merci pour ce billet (encore) fort instructif sur un "contre interrogatoire" efficace de la machine.
Et aussi pour me rappeler de finir la première saison de Game of Thrones.
Désolé d'aborder cette question, mais pour ce cas d'espèces quelle est la fourchette du prix de votre contre-expertise ?
"100% des admis ont été admissibles". Cela vendait pourtant du rêve pendant mes oraux d'école de commerce !
Cela dépend vraiment du temps consacré, des déplacements, du matériel nécessaire, etc. Pour ma part, n'ayant que peu de temps pour ce type d'activité, j'accepte surtout les analyses critiques de rapport d'expertise demandées par des avocats. Un peu de temps avec l'avocat au téléphone, la réception du rapport à analyser, suivie d'un temps de travail le soir et le week-end, puis d'un dernier travail au téléphone. La fourchette de coût commence à environ 500 euros (et il n'y a pas de plafond 😉
ce qui est effrayant, c'est que la personne ait du payer un expert indépendant pour avoir droit à un rapport d'expertise valable
Vous n'avez pas idée de la précarité du fonctionnement de la justice à cause de son budget ridicule. Quand la France consacrera un budget décent à sa justice, tout fonctionnera mieux.
Parlez-en à votre député.
– Ce qui est effrayant c'est que les magistrats doivent choisir un expert qualifié alors qu'ils n'ont eux-mêmes aucune compétence dans le domaine technique visé – et plus le domaine est techniquement éloigné de leur formation, plus c'est flagrant – qu'ils ne savent _donc_ pas évaluer les compétences propres de l'expert en la matière, qu'ils ne peuvent _donc_ pas poser les questions pointues nécessaires à la "manifestation de la vérité" et qu'ils vont _donc_ donner une mission assez vague à l'expert, en espérant que celui-ci saura deviner ce dont ils ont besoin.
– Couplé au souci de ne pas trop engager les finances publiques _donc_ de prendre l'expert le moins disant – surtout si l'infraction ne mérite pas de dépenser l'équivalent de 3 mois de budget photocopies du Tribunal ET si l'expertise se situe en fin d'année, quand les caisses sont vides – un magistrat déjà surchargé de tâches multiples va être tenté de donner la préférence à un expert qui lui soumet un devis assez bas, des compétences facilement évaluables comme des diplômes universitaires ou une réputation flatteuse venue de connaissances extra-judiciaires (appelons ça le bouche-à-oreille comme Zythom l'écrit) et surtout une disponibilité plus ou moins immédiate.
On devine facilement que celui qui réunit ces critères n'est pas forcément un expert de réputation internationale mais plutôt un débutant qui n'a pas encore réuni suffisamment de points positifs pour obtenir son inscription sur une liste d'experts judiciaires agréés auprès d'une cour d'appel.
– Alors, certes, le juge n'est pas tenu de tenir compte des conclusions de l'expert mais…compte tenu du temps passé, de l'argent dépensé, du fait que les parties se voient communiquer ledit rapport et peuvent ajouter leurs observations voire demander une contre-expertise, il semble difficile au juge (et on le comprend) de rejeter une pièce de procédure qui lui a donné tant de mal!
"c'est un coup bas, mais il permet d'éliminer les guignols utilisant des logiciels crackés pour faire leurs investigations"
Bête question qui m'a fait tiqué: qu'est-ce qui rend moins valable une analyse faite avec un logiciel piraté qu'avec un logiciel acheté (en dehors de l'aspect légalité) ?
La moralité de l'expert judiciaire doit être au dessus de tout soupçon. S'il utilise des logiciels commerciaux crackés, il se disqualifie. La fin ne justifie pas les moyens dans un état de droit.
+1.
De plus, dans le cas de version pirate de logiciels commerciaux réputés, rien ne dis qu'une version piratée est à jour, complète, non caviardé ou autre.
Un résultat présenté comme "sur" grâce à la réputation du logiciel ne vaut pas un kopec si il est disqualifié ainsi.
Vous qui avez de l’expérience dans le domaine, les logiciels payant sont-ils meilleurs que foremost dcfldd testdisk photorec ddrescue ? Je vois pas ce qu'ils peuvent faire de plus ?
Les logiciels commerciaux rendent les analyses plus simples en proposant des scripts clef en main. Du coup il est moins nécessaire d'être très proche de la technique. C'est d'ailleurs leur principal défaut.
Merci pour cette réponse que je considère et qui vient soulager une frustration par rapport à ce que je vois sur d'autres forum.
Très bonne analyse Zythom, mais j'ai aussi eu entre les mains un rapport d'expert d'un labo réputé qui a fait une analyse inadmissible sans aucune doctrine : pas de copie, pas de bloqueur, des dates caviardées sur des impressions d'écrans, etc. !!!
Un ESCI
Bonjour,
S'agit-il d'une contre expertise comme indiqué dans le titre, donc avec une nouvelle analyse des scellés ? ou une consultation sur un rapport, donc votre avis sur le contenu du rapport sans reproduire l'analyse des éléments saisis ?
S'il s'agit d'une contre expertise, il me semblait que seul le magistrat pouvait l'ordonner…
Je me suis spécialisé dans l'analyse critique de rapports d'expertise pour le compte d'une des parties. Il s'agit d'une contre-expertise privée et non pas d'une deuxième expertise demandée par un magistrat. C'est aussi pour cela que cela coûte cher.
Donc il ne s'agit pas d'une contre expertise, mais de l'analyse d'un rapport (consultation).
Trois remarques (constructives) :
Vous pourrez dire que la pile du bios est en état, que l'heure est correctement paramétrée au moment de vos constatations, mais vous ne pourrez jamais le certifier en ce qui concerne l'heure de commission des faits. La cohérence du bios est donnée à
titre indicatif uniquement. Les dates et heures ont pu être modifiées à tout moment sans que cela soit forcément vérifiable.
La seule possibilité est à mon avis de dire que les dates et heures sont vraisemblablement correctes, sauf à démontrer qu'elles ne le sont pas.
Virtualiser une image peut être nécessaire lorsque des logiciels spécifiques sont installés sur une machine ou autre cas particulier,mais ce n'est pas une fin en soi en matière d'analyse forensique il me
semble.
Je précise, je ne défend pas du tout cet expert occasionnel,et suis d'accord sur les autres points que vous avez cités.
Dans le cas présent, une vrai contre-expertise aurait permis de dire si le premier travail avait été bien fait ou non, désigner un expert inscrit et formé à ce type de travail aurait effectivement
peut être évité ces problèmes.
Cordialement
Lors de la demande d'une contre-expertise auprès d'un magistrat, celui-ci a besoin d'éléments qui lui permettent de justifier (le coût de?) celle-ci. Souvent, la demande est accompagnée d'une contre-expertise privée, basée uniquement sur l'examen du rapport du 1er expert. Seul l'accès aux pièces initiales (si elles existent encore) peut permettre de trancher définitivement.
Honnêtement je trouve beaucoup de contre-arguments facilement rejetable, et tout est une affaire de connaissances ou non de l'utilisateur, et donc au final de statistiques.
Car tout est modifiable et intraçable en informatique, sauf sous couvert de tiers de confiance, ce qui n'est pas le cas pour les données analysées ici. Tous les rapports de ce genre sont donc soumis, il me semble implicitement, à un grand SI…
"mais il permet d'éliminer les guignols utilisant des logiciels crackés pour faire leurs investigations"
C'est vrai qui si l'utilisateur possède une licence, il est forcément plus compétent.
Où voyez-vous que je parle de compétence ? Un expert qui utiliserait un logiciel cracké peut parfaitement être compétent, mais cela n'en reste pas moins un guignol.