Coup de fil d’un officier de police judiciaire: « Bonjour Monsieur l’expert, j’aurais besoin de vous pour m’assister lors d’une perquisition chez un informaticien… »
Moi : « Euh, mais vous pourriez me donner plus de détails ? »
OPJ : [détails de l’affaire]
Moi : « Euuuh (je dis souvent « euh » quand je réfléchis), mais vous savez ce qu’il y a comme matériel, le nombre d’ordinateurs, leurs marques, le nombre de disques durs, leurs tailles ? »
OPJ : « Ah, ça. [bruit de feuilles de papier qu’on tourne] Et bien en fait non. »
Nous raccrochons après avoir mis au point les autres détails de l’intervention. Je reçois rapidement par fax ma désignation en tant qu’expert judiciaire.
Je n’aime pas ça…
Je n’aime pas les perquisitions.
Je n’aime pas ne pas savoir où je mets les pieds.
Mais bon, si l’on faisait toujours ce que l’on aime…
Et puis, je n’ai pas proposé mes services à la justice pour faire des choses faciles.
Donc, dans une semaine, je dois aider la justice dans un dossier où le principal suspect est un informaticien. Bien, bien, bien.
Comment se préparer au pire ?
Je résume ma mission : je dois copier les données « utiles au dossier », sans faire la saisie du matériel. La copie intégrale des disques est souhaitée par les enquêteurs. Je n’ai aucune idée de ce que je vais trouver sur place.
Ce n’est pas la première fois que je me trouve dans cette situation.
J’ai encore plus peur.
Je range mon bureau et fait l’inventaire du matériel dont je dispose. Plusieurs disques durs internes, des câbles réseaux, un switch (pardon: un commutateur), des adaptateurs divers, quelques « vieux » PC qui pourraient être reconvertis en NAS de stockage ou en station d’analyse… Bref, je reconstitue la trousse d’intervention dont j’ai déjà parlé ici.
J’explique ensuite à mon épouse que j’ai toutes les bonnes raisons pour aller dévaliser la boutique informatique du coin. J’en ressors avec quatre disques durs de forte capacité à 200 euros pièces, un nouveau switch gigabit, de la connectique USB3, le PC de gamer dont je rêve, et une boite de DVD de qualité. Je sais bien que rien ne me sera remboursé par la justice, mais je ne veux pas me retrouver bloqué par un problème de stockage. Et puis, au fond, ça me fait bien plaisir de pouvoir justifier le remplacement des disques du NAS familial et un petit upgrade de ma station d’analyse qui me sert aussi à tester « des trucs ». J’ai déjà envie de déballer mes jouets…
Jour J, heure H, minute M, nous sommes sur place.
La maison est un peu isolée. Je note néanmoins les réseaux wifi que j’arrive à capter, avant que l’OPJ ne frappe à la porte. L’intervention commence.
Heureusement, pas de Léo.
Puis, accompagné par un gendarme, je fais l’inventaire du matériel informatique présent dans toutes les pièces de la maison, combles et sous-sol inclus. Une box, deux consoles de jeux, présence d’un NAS dans le garage et de disques durs dans une armoire isolée.
Le cœur de réseau est un switch giga, je compte le nombre de câbles. Toutes les pièces du rez-de-chaussée sont câblées, et les pièces de l’étage sont couvertes par un réseau wifi. Enfin, deux réseaux car je capte celui de la box et celui d’une borne qui s’avère être dans les combles. Mais pour l’instant, mon objectif n’est pas de sniffer le wifi avec mon pc portable Backtrack. Je cherche les stockages de données potentiels. Telle est ma mission.
Le bureau est un bordel sans nom. Je prends des photos avant de mettre mes pieds dans les quelques espaces vides restant au sol. Je ne voudrais pas être accusé d’avoir tout mis sens dessus dessous. Il y a une quantité incroyables de clefs USB, de disques durs, de carcasses d’ordinateurs, d’écrans, de fils, de boîtiers divers… La journée s’annonce très longue, surtout que le propriétaire des lieux ne semble pas très coopératif.
Un rapide inventaire me permet de repérer les disques durs les plus gros. Le matériel principal étant sous Windows, mon livecd Ophcrack me permet de récupérer tous les mots de passe de la famille. Puis le Firefox d’un des postes me donne les autres mots de passe, dont celui du compte admin du NAS, ainsi que ceux des différentes bornes Wifi (dont une qui n’émet pas son SSID). Je tape « 192.168. » dans la barre d’adresse du navigateur qui me propose, par suggestion, une liste des adresses IP intéressantes du réseau, celles qui ont une interface d’administration web.
Je lance la copie des disques durs les plus volumineux, car je sais que cela prendra du temps. J’utilise un petit réseau giga, monté autour du switch que j’ai acheté quelques jours auparavant. Mon NAS perso s’avère inutile et restera dans le coffre de ma voiture, la grosse capacité des disques fraîchement achetés tiendra le poids des copies. Je vérifie rapidement leur température en espérant qu’ils tiennent car je n’ai pas pensé à mon ventilateur. Je trouve une grosse boîte métallique qui fera dissipateur de chaleur. Je note ce point sur le petit carnet qui ne me quitte jamais. C’est un élément important de ma roue de Deming…
Une fois la copie lancée, je souffle un peu. Je trace sur un papier le réseau tel que je l’ai identifié. Je sniffe le Wifi pour repérer quelque chose d’anormal. Rien de suspect. Je branche mon petit portable sur le réseau filaire de la maison et lance une petite analyse du matériel allumé et branché. La box et le NAS répondent à mes nmaps. J’allume les deux consoles de jeux. Pas de données suspectes sur le disque dur de la box (du moins rien en rapport avec la mission), ni sur ceux des consoles de jeux. Une analyse plus poussée demanderait l’extraction des disques durs, on verra plus tard si besoin.
Les copies des disques avancent, et pendant ce temps, je procède aux copies des clefs USB et des petits disques amovibles. Pour gagner du temps, comme le disque dur de l’ordinateur portable est facile à enlever, je l’extrais et en fait une copie bit à bit sur mon portable via un cordon USB3, histoire de ne pas surcharger mon petit réseau. Je regarde la pile de dvd gravés trouvés sur place en soupirant. Le temps passe. Le temps, le temps, le temps.
Je fais une petite pause devant mes écrans où les commandes Linux comptent les téraoctets qui s’accumulent. Je me demande comment sera le futur. Je me demande comment les experts judiciaires feront dans quelques années. Les données seront-elles toutes, ou presque, externalisées ? Ou seront-elles stockées en local sur des supports qu’on mesurera en pétaoctets, en exaoctet, en zettaoctet ou en yottaoctet. Quels seront les débits et les temps d’accès aux données ? Sera-t-il encore possible d’en faire la copie intégrale en un temps raisonnable ?
Suis-je en train de faire quelque chose dont on rira dans quelques années ? Probablement. Mais dans combien de temps ?
Le temps, le temps, le temps.
Je reprends mes esprits. Je ne suis pas chez moi. Je ne suis pas le bienvenu. Je dois ranger mes affaires, les copies des différents supports de stockage sont terminées. Il me reste à en faire l’analyse, mais les vérifications faites in situ à chaud montrent que les informations recherchées sont bien là. Inutile donc de toucher à la box et aux consoles de jeux.
L’analyse des téraoctets trouvés chez un informaticien révèlent toujours des surprises. Cette fois encore, je ne serai pas déçu. Mais ça, c’est une autre histoire…
La suite… la suite…. la suite…
🙂
D'ailleurs j'ai une question. Si le disque dur est chiffré et que le propriétaire n'est pas là pour vous donner le mot de passe, juridiquement il se passe quoi vu que les preuves sont inexploitables ?
Juridiquement, pour le propriétaire, il se passe ça.
Pour l'expert, il ne se passe rien car à l'impossible nul n'est tenu.
encore faut-il savoir que son contenu est chiffré 😉
Là aussi, beaucoup d'indices permettent de savoir qu'un contenu est chiffré : présence de logiciels de stéganographie, logiciels de chiffrement, fichiers de grandes tailles illisibles ou de signatures inconnues, etc.
Petit scenario :
Tu trouve avec certitude (grande probabilité du moins) une partition/fichier chiffré. Le propriétaire du dit fichier obtempère et communique le mot de passe. Vous trouvé des documents de travail, assez sensible pour justifier le fait qu'il soit chiffrés.
La suite :
– il est consciencieux dans son travail
ou
– il a un volume caché
J'ai plusieurs fois expliqué sur ce blog l'existence des containers cachés et leurs inconvénients : les rares fois où j'ai eu accès à un container chiffré (qui ne soit pas l'un des miens), j'ai immédiatement constaté que les dates des fichiers étaient anciennes, ce qui n'a pas manqué de m'étonner. A chaque fois, le propriétaire m'a alors donné les clefs du container caché.
Par ailleurs, les données présentes dans un container caché laissent des traces sur le disque dur lors de leur manipulation (en cache, etc.). L'analyse des zones non allouées des disques durs fait apparaître ses traces.
Le chat et la souris.
Par rapport à ça, ça contredit pas le droit de garder le silence ? De ne pas s'incriminer ? (J'en sais rien, c'est pour ça que je demande).
bonjour, encore une fois merci pour ce moment :).
Une question si vous permettez. Suite à la lecture de votre blog, je me suis essayé à OrphCrack. Ca marche bien pour les mots de passe de mes enfants.
Mais il n'a jamais "craqué/trouvé" le mien (j'ai laissé tourner 6 jours) composé de 12 caractères minuscules, majuscules, spéciaux, numériques.
Evidemment (ou pas) je n'utilise que les "rainbowfile" gratuits.
merci d'avance pour votre avis.
Informaticien, également, je vois que rien ne vous résiste. Ou alors, si, je pourrais, mais cela exigerais une telle discipline, que les tracas générés au quotidien m'auront à l'usure. et, puis, il faudrait que j'ai quelque chose à cacher qui en vaille la peine, mais ce n'est pas le cas 🙂