Dans le cadre des rediffusions estivales, je vous propose ce billet publié en juin 2010, et qui aborde un des aspects les plus intrusifs de l’expertise judiciaire.
————————————————————————————————
Il est huit heures du matin. Les policiers frappent à la porte d’un pavillon. Je les accompagne.
J’ai prêté serment d’apporter mon concours à la Justice. Mais je suis
dans mes petits souliers: je participe à une perquisition chez un
particulier, et je dois dire que je n’aime pas ça.
Une femme nous ouvre la porte en peignoir. Un policier lui explique la
procédure pendant que ses collègues entrent en silence. L’action est
calme et nous sommes loin des clichés des séries TV. Une fois la maison
explorée, les policiers m’invitent à entrer pour effectuer ma mission:
le juge m’a demandé d’analyser les différents appareils informatiques
présents dans la maison.
Il s’agit d’une affaire de trafic portant sur plusieurs centaines de milliers d’euros.
Depuis une semaine, je me prépare tous les soirs en essayant d’imaginer
tous les cas techniques devant lesquels je peux tomber. J’ai un sac
contenant un boot cd DEFT, des tournevis de toutes tailles et de toutes
formes, stylos et bloc notes, un dictaphone numérique, un ordinateur
portable avec carte réseau gigabit et disque de grosse capacité pour la
prise d’image en direct, une lampe électrique, un bouchon 50 ohms et un
connecteur en T, le live CD d’Ophcrack, un câble réseau, un prolongateur
et un câble croisé, une boite de DVD à graver (et quelques disquettes
formatées, cela sert encore…), une bouteille d’eau et un paquet de
biscuits. Grâce aux lecteurs de ce blog,
j’ai ajouté un appareil photo, un GPS, du ruban adhésif toilé et
résistant, des élastiques de toutes tailles, des trombones, un clavier
souple ne craignant pas l’humidité avec la connectique qui va bien, un
tabouret en toile, des vis, patafix et colliers, une tour sur roulette
avec carte SATA et quelques disques vierges de rechange, un ventilateur
pour les disques, une petite imprimante, toute la connectique pour les
organiseurs (Palms, Blackberry, iphone, etc.), des étiquettes/pastilles
de couleur, des stylos et des feutres, un petit switch 10/100/1000, un
câble série, un câble USB, une nappe IDE, une nappe SATA et des
adaptateurs USB, SATA, IDE…
Pour l’instant, je tiens à la main une petite mallette avec mes
principaux outils: bloc note, stylo et boot cd. Le reste est dans ma
voiture. La maîtresse de maison nous explique que son mari est en voyage
d’affaire et ses enfants chez leur grand-mère. Elle est seule chez
elle. J’ai un sentiment de malaise face au viol de sa vie privée.
Décidément, je ne suis pas fait pour ce type d’intervention. L’OPJ sent
mon désarroi et le met sur le compte de l’inexpérience. Il m’emmène au
bureau de la maison où trône un ordinateur au milieu d’un paquet de
disques durs extractibles. Mon travail commence.
J’explique à l’OPJ ma procédure de prise d’images. Il tique un peu quand
je lui annonce mon estimation des durées. Bien sur, si j’avais été
invité au briefing de la veille, j’aurais pu expliquer tout cela…
J’installe tout mon petit matériel dans un coin de la pièce, à même le
sol. Je démonte les différents disques durs et les place dans ma “tour
infernale” (mon PC d’investigation). J’ai l’impression que les policiers
me regardent en pensant au professeur Tournesol.
Pendant les deux heures qui vont suivre, je vais étudier tous les
papiers découverts par les policiers pour voir s’ils peuvent contenir
des éléments de nature à me faciliter l’analyse inforensique des disques
durs. Mais je ne trouve rien. La corbeille à papier est également vide
IRL. Le monde moderne.
Les policiers s’ennuient un peu, quand finalement j’arrive à booter la
première image dans une machine virtuelle VMware. L’un d’entre eux me
dit en souriant: “finalement, deux heures pour démarrer un PC, c’est un
peu comme chez moi”. Je ne me laisse pas déconcentrer et pars à la
recherche de tous les indices possibles.
Les mots de passe Windows sont vite découverts avec Ophcrack.
L’historique internet me fournit une liste de sites visités, ainsi que
plusieurs pseudos (en clair dans les url). Les historiques MSN me
donnent plusieurs emails et identités numériques. J’explore les
différents outils de messagerie installés: Outlook Express, Thunderbird,
surtout les emails de création de comptes avec envoi de mots de passe.
Je conserve tout cela précieusement car tout ceci me donne l’impression
que le propriétaire du PC change régulièrement de pseudo.
La liste des mots de passe utilisés me donne une petite idée de la
stratégie de choix de l’utilisateur: un mélange avec les prénoms de ses
enfants et des dates qui s’avèreront être les dates du jour de création
des comptes.
J’effectue une petite recherche des fichiers de grosses tailles qui met
en évidence trois fichiers de 4 Go sans extension. Je tente le coup avec
l’application TrueCrypt contenue dans ma clef USB “LiberKey“.
J’essaye les différents mots de passe trouvés précédemment et l’un
d’entre eux marche sur un fichier, deux autres sur l’un des fichiers
restants. Cela signifie donc qu’un utilisateur du PC connait TrueCrypt
et l’utilise pour chiffrer des données dans un fichier protégé par le
système à double détente de TrueCrypt. Mais il me manque encore quelques
mots de passe.
Parmi les outils de mémorisation des mots de passe, le navigateur est le
plus utilisé. Je lance le navigateur installé et vérifie dans les
options appropriées la liste des mots de passe mémorisés en association
avec différents comptes internet.
Je note tous les login/mot de passe des comptes. Je vérifie avec l’OPJ
que mon ordre de mission m’autorise à me connecter sur les comptes
internets. Un coup de fil au magistrat lève les doutes. Je fais
consigner la démarche sur le PV. Je choisis en premier lieu le webmail
le plus fréquemment utilisé. J’y découvre une quantité d’emails que je
récupère avec le Thunderbird de ma clef USB. Et bien entendu, parmi ces
emails, un certain nombre d’emails contenant des mots de passe.
Ce travail s’effectue en parallèle de la prise d’image des autres
disques qui sont montés au fur et à mesure sous forme de machines
virtuelles. Mais le travail initial permet d’accéder plus rapidement aux
espaces DATA intéressant les OPJ. Une fois franchis l’obstacle du
chiffrage et des mots de passe, l’outil essentiel est une recherche
Windows avec les mots clefs fournis par les OPJ. J’ai une certaine
préférence pour SearchMyFiles de chez NirSoft.
La perquisition se termine en fin d’après-midi. J’imprime tous les
documents découverts. Je range mon matériel. Je rappelle à l’OPJ que ma
mission se poursuivra le week-end suivant avec des analyses plus
longues, en particulier des zones non allouées des disques durs. Suivra
ensuite la rédaction du rapport et l’impression des annexes. Comme pour
une fois, ce dossier ne contient pas d’images pédopornographiques, je
vais pouvoir externaliser l’impression pour faire baisser les coûts.
En sortant de la maison, je présente mes excuses à la propriétaire.
Elle est en colère et me répond durement.
Je revois encore aujourd’hui la rage de son regard.
Je la comprend.