Le PC d’occasion – 3e partie

Le billet précédent se terminait ainsi :
Par contre, je trouve scandaleux que le matériel informatique d’une mairie puisse se retrouver dans la nature sans avoir fait l’objet d’un effacement consciencieux des données qu’il contient. Quelqu’un a commis une erreur, soit par incompétence, soit du fait de sa condition humaine, soit parce que l’ordinateur a été volé… Tout est possible.
Je décide donc de contacter l’ANSSI.

Pourquoi contacter l’ANSSI, quand il me suffit de contacter le service informatique de la mairie concernée ?

Et bien, il s’agit là d’une précaution élémentaire, qui est le fruit d’une longue série d’expériences douloureuses subies par d’autres. En effet, lorsque l’on prévient un organisme qu’il a un problème de sécurité, il arrive fréquemment que l’on se retrouve soi-même à faire partie du problème. Je ne compte plus les affaires où un simple particulier a été mis en cause par un organisme, et qui s’est retrouvé embarqué malgré lui dans des aventures qu’il n’imaginait pas devoir subir.

Et il se trouve que j’ai l’imagination très fertile en ce qui concerne les problèmes potentiels qui peuvent survenir. J’en ai même fait mon métier : je suis Expert en poliorcétique dans une grande école où mon quotidien est fait d’agressions informatiques permanentes et où je vis dans la crainte que l’une d’entre elles emporte tout sur son passage (et je SAIS que cela arrivera, malgré tous les PCA, PRA, parefeux, PSSI, SMSI, SIEM, comités sécurités, cellules de crise cyber, exercices, formations de sensibilisation, etc. que je peux mettre en place, cela ARRIVERA, et je dois dormir chaque nuit avec cette certitude…).

Bref, pas question de me retrouver sur le banc des accusés parce qu’un DGS a paniqué et m’a désigné comme contrefeu à la vindicte des membres de la magistrature… Je me souviens toujours de la tirade de Maître Eric Dupont-Moretti : “La justice, c’est une administration à laquelle on a donné le nom d’une vertu. Ça n’est rien d’autre que cela. Elle a les qualités et les défauts d’une administration. Moi, je ne voudrais pas avoir à faire à la justice.” Le fait qu’il soit devenu Garde des Sceaux ne me rassure pas plus que cela.

Pour le commun des mortels, le fait d’avoir été expert judiciaire pendant 21 ans me place dans la catégorie des personnes nécessairement protégées, faisant parti du système, intouchables… Qu’ils se rassurent, je peux prendre cher comme tout un chacun, et c’est justice (sans réserve).

Je décide donc de contacter l’ANSSI, parce que pour moi, ils représentent les Chevaliers défendant le faible contre les dangers de ce monde. Ils prononcent des vœux d’obéissance, de pauvreté et de chasteté, mais combattent efficacement les cyberinfidèles. Voici mon courriel :

Sujet du message : Faille de sécurité Mairie de [ville de la région
parisienne]

Bonjour,
J'ai acheté un ordinateur d'occasion sur internet sur le site
www.backmarket.fr
Pour ne pas faire de recel de données illégales, j'ai procédé à
l'analyse forensic de son disque dur (je suis expert judiciaire).
Celui-ci contient des données en rapport avec le service financier de
la mairie de [ville de la région parisienne] : documents pdf, word,
excel, et échanges d'emails internes et externes avec par exemple les
finances publiques. Vous trouverez en pièce joint l'un des emails que
j'ai pu récupérer.
Le détail de ma commande sur www.backmarket.fr :
[...]
J'ai extrait le disque dur du PC et je l'ai placé sous scellé. Pouvez-
vous me dire la suite que vous donnerez à ce message et ce que je dois
faire du disque dur ?
Bien à vous,
[Zythom]

Plein d’espoir et les yeux brillants d’émotion, j’ai ouvert la réponse de l’astreinte du CERT ANSSI :

Bonjour,
Nous vous remercions pour votre signalement que nous avons bien pris en
compte sous la référence RM#31415926.
Vous êtes-vous adressé à la mairie de [ville de la région parisienne],
pour connaître la marche à suivre dans ce genre de situation ? Car à
priori, c'est plus de son ressort que du nôtre.
Merci de nous tenir informé des actions entreprises.
Cordialement,

C’est peu de dire que j’étais très déçu…

Mais après quelques réflexions, je me suis souvenu que Alonso Quijano ne se serait pas découragé pour si peu, et j’ai donc repris ma plume électronique :

Bonjour,
Je suis surpris par votre demande : je n'ai aucun contact à la mairie
de [ville de région parisienne], et aucune chance d'être écouté en tant
que simple particulier.
Vous êtes par contre parfaitement qualifié pour leur signaler une
faille de sécurité et déclencher une enquête par les services
appropriés.
Merci de me tenir au courant des suites que vous aurez données à mon
signalement, et je vous précise que je souhaite bénéficier de la
protection de l'alinéa 2 de l'article L.2321-4 du code de la défense.
Bien à vous,
[Zythom]

Quelques temps plus tard, je recevais le message suivant :

Bonjour Monsieur,
Nous avons pris contact avec la Mairie et sommes en attente d'un
retour.
Nous vous tiendrons au courant des éléments vous concernant.
Merci encore pour votre signalement.
Bien cordialement,

VICTOIRE, et tel Amadis de Gaule prenant le nom de Chevalier de la Verde Espée, je suis debout sur mon bureau et fait tournoyer mon clavier en flattant la croupe de ma souris verticale (ce billet devient n’importe quoi). Las, j’avais omis un point que tout fidèle lecteur aura déjà relevé, en bon Sancho Panza, et que la dure réalité de ce monde cruel est venu me rappeler à travers l’email de l’ANSSI reçu un mois plus tard :

Bonjour,

Suite à votre signalement et conformément à l’article L. 2321-4 du code
de la défense, nous avons averti la mairie qui a pris très au sérieux
cet incident et souhaite récupérer ce disque dur.  Acceptez-vous de le
lui transmettre ?

Si oui, et dans le cas où vous souhaitez organiser le transfert
directement avec la mairie, nous pouvons vous fournir un contact.
Si vous souhaitez demeurer anonyme, nous pouvons servir de relais.

Pour votre information, votre anonymat sera conservé par l'ANSSI,
conformément à l'article L. 2321-4 du code de la défense, sauf à ce que
l'ANSSI soit contrainte de divulguer votre identité en cas de
réquisition judiciaire à la suite d'un dépôt de plainte de la mairie.

Cordialement,

En fait de dure réalité, c’est ma douce épouse qui m’a fait remarquer : “Ah parce qu’en plus, tu vas devoir payer pour leur envoyer un disque dur qui t’appartient ?”

“Non, mais ça me fait plaisir”, est la seule chose que j’ai trouvée à lui répondre…

J’ai donc placé le disque dur (mis sous scellé au tout début de cette aventure) dans un emballage robuste, et j’ai envoyé le tout à mes frais au secrétariat général de la défense et de la sécurité nationale.

En confiant mon précieux paquet au bon soin de La Poste, je lui ai fait un petit geste d’adieu définitif.

Il me reste à vous narrer les échanges avec le vendeur de Backmarket, et le service après-vente d’icelui. Cela fera l’objet d’un prochain billet. Stay tuned.

15 réflexions sur « Le PC d’occasion – 3e partie »

  1. Bonjour,

    je sais bien qu’il s’agit là seulement d’un exemple et qu’il ne faut pas tirer de généralité ….

    En résumé, vous contactez une administration qui dans un premier temps vous répond que ce n’est pas a elle de traiter et qu’il vaudrait mieux que vous traitiez le problème sans elle.
    Comme vous savez cela être faux, vous les relancez et là ils agissent, et là vous criez victoire.

    Je trouve qu’il s’agit plutôt d’une double défaite, car quand on y pense :
    1ère défaite : si vous n’aviez pas toutes ces connaissances vous n’auriez pas écrit votre relance, et Bingo, ils auraient évité leur travail.
    2ème défaite : que cela ne choque pas que la fonction publique n’est pas là pour aider les gens, et qu’elle ne travaille que si on arrive l’y contraindre.

    vous pouvez voir cela comme une victoire pour vous certes, mais pour combien de défaite car la personne n’avait pas vos compétences ?

    • Bonjour,
      Il me semble y avoir un biais cognitif dans votre raisonnement : il ne s’agit pas d’une administration toute entière, mais d’une personne. Ensuite, la réponse faite est correcte, mais elle ne me satisfaisait pas, ce qui est très important de mon point de vue, mais pas essentiel en soi. Enfin, de manière général, toutes les administrations œuvrent pour le bien public (et comme ancien conseiller municipal, je peux en témoigner), avec les moyens que la société leur donne.
      Il ne faut pas tirer sur l’ambulance, et j’espère que ce billet un peu ironique par moment ne vous a pas donné cette impression.
      Zythom

    • Bonjour,

      Oui, je pense pareil, quoiqu’en relativise Zythom (trois fois béni soit son nom et icelui vénéré jusqu’à la 25eme génération, minimum).

      En bon libéral terrorisé par l’ogre administratif,
      1) je constate néanmoins le niveau élevé de compétence nécessaire pour exhiber l’article qui fait réagir son interlocuteur.

      2) selon mon expérience, la probabilité d’une réaction néfaste de l’administration envers Zythom existe. Le premier conseil de l’interlocuteur méconnait cette réalité en laissant un particulier s’exposer face à cette hypothèse.

      3) le dernier paragraphe livre une information de premier ordre en précisant la limite de l’article L. 2321-4. Naïf, j’avais compris que cette article était une protection en béton.

      Bien sincèrement,

  2. Hello @Zythom,

    Bien intéressant comme post,
    par contre, j’attendais un “TO BE Continued” et un “Previously on …” je suis déçu 😀

    @Stephane malheuresement c’est la triste réalité, hormis si tu tombes sur des gens zélés ou dédiés à leur boulot. La plupart des gens traitent le leur en “best effort” et encore sans forcément une conscience professionnelle très élevée (au final tout est question de “responsabilité personelle”). Pas de risque, pas de besoin, pas d’action.

    Cordialement

  3. Hello
    “Il me reste à vous narrer les échanges avec le vendeur de Backmarket, et le service après-vente d’icelui.”

    ne serait ce pas plutôt :
    Il me reste à vous narrer les échanges avec le vendeur de Backmarket, et le service après-vente de celui-ci.

  4. Bonjour,
    Donc en fait, la mairie veut récupérer l’arme du crime pour mieux faire disparaître la preuve de la faute et/ou de l´incompétence de son service IT qui ne chiffre même pas les partitions de leurs disques ? Je crains que ce ne soit au final qu’un coup d’Excalibur dans l’eau…

    • Le disque a été mis sous scellé par mes soins, avec la mention “ce scellé ne doit être ouvert que sur décision de justice”.
      On verra bien.

  5. Je doute franchement que le maire saisisse un juge pour ce disque. Les données appartiennent à la commune, non ? A voir si elle reprend ses procédures et les sécurise.
    Mes collègues m’ont assuré qu’une telle histoire ne pouvait se dérouler chez nous 🙂

  6. la fin du 2eme article me fait penser à une anecdote qui date vraiment (vers 1995 (une éternité pour l’IT)) …
    J’ai signalé, à un ami banquier, qu’il y avait des émulateurs de carte bleue qui circulaient en accès libre sur Internet.
    Il a bien entendu fait remonter à sa hiérarchie et a immédiatement été considéré comme criminel en puissance. Ses accréditations suspendues, ses comptes scannés à la loupe …
    Ca a duré 15 jours, le temps de s’apercevoir que mon ami était honnête (pour un banquier) et qu’il n’avait fait que son boulot d’employé modèle 🙂

  7. Je viens de tomber sur votre article qui correspond a un cas vécu récemment.
    Je me suis permis de vous écrire pour vous détailler la chose car je ne sais pas trop comment gérer cela.
    F.

Les commentaires sont fermés.