Allo, bonjour Monsieur l’expert, Maître McKie à l’appareil. Je vous appelle pour une expertise privée.
Bonjour Maître.
Vous savez que je ne suis plus inscrit sur la liste des experts judiciaires ?Oui, oui, mais vous m’avez été chaudement recommandé par un confrère avec qui vous avez travaillé et qui m’a dit beaucoup de bien de vous…
Mmmm, pouvez-vous m’en dire plus sur cette mission que vous souhaitez me confier ?
Alors, je pense que c’est assez simple pour un homme de l’art, mais c’est un peu du chinois pour moi au niveau technique : mon client est poursuivi pour téléchargement illégal. Ses ordinateurs ont été saisis et les enquêteurs ont trouvé des traces dessus. Mais il conteste le fait que ce soit lui qui les ait téléchargés, ni quiconque de son entourage familial.
Mmmm, pourriez-vous préciser le type de téléchargement illégal ?
Mon client est poursuivi pour téléchargement de films et photographies pédopornographiques.
Vous voulez que je disculpe un pédophile ?
Un homme accusé de pédophilie, Monsieur l’expert, mais présumé innocent.
Pendant des années, je suis intervenu comme expert judiciaire dans des dossiers de recherche de films et d’images pédopornographiques. J’en ai trié des milliers, des dizaines de milliers, des centaines de milliers. Je pleurais la nuit devant mon ordinateur en classant les images et les films par âge des victimes, en les cataloguant par thème, par pose, par acte… Mais j’étais désigné par un magistrat pour une mission précise : cet ordinateur contient-il des films ou des images pédopornographiques ? Si oui, les extraire sur un support de stockage.
Le magistrat m’autorisait à accéder au scellé, et me fournissait les quelques pièces du dossier nécessaires à mes investigations. Je faisais un travail scientifique d’investigation le plus précis possible sachant que la vie d’autres personnes pouvait en dépendre. Mais une fois mon rapport déposé, le scellé reconstitué et rendu, je n’avais plus affaire à la justice, ni accès au dossier, ni même des informations sur les suites données à mon travail.
Dans le cas d’une expertise privée, la situation est très différente : je travaille au côté d’un avocat, j’ai accès à tout le dossier auquel il a accès, et je rencontre et je discute avec son client.
Disculper un pédophile, jamais.
Un homme accusé de pédophilie, mais présumé innocent.
Je me souviens alors de ce que m’a dit un jour mon épouse, Avocate : tout être humain a droit à une juste peine. Pour cela, il doit être défendu devant ses juges par un avocat qui va présenter la part d’humanité qui existe en chacun de nous, même chez le pire criminel.
J’accepte d’examiner le dossier. Les enquêteurs présentent des faits, ici la présence avérée d’images et de films pédopornographiques sur un ordinateur, mais comme souvent, ils omettent d’explorer toutes les pistes pouvant expliquer ces faits. C’est alors à l’avocat, et son expert technique, de se lancer dans cette recherche.
Les faits sont simples : un ordinateur contient des images et des films pédopornographiques, effacés mais dont les traces persistent sur le disque dur et sont reconstituables. Le dossier contient beaucoup d’images…
Je retrouve des images que je connais bien pour y avoir été confronté lors de mes trop nombreuses expertises sur ce sujet. J’y croise le regard triste et le sourire forcé de la petite fille que j’ai appelé Yéléna. J’en parle à Me McKie qui m’avoue ne pas avoir voulu regarder les images jointes au dossier. J’ai l’impression d’avoir perdu une part de mon humanité en m’étant endurci et insensibilisé.
Mais je constate aussi que beaucoup de personnes avaient accès à l’ordinateur, dont beaucoup trop de monde externe à la cellule familiale. Je constate que le mot de passe du compte utilisé au démarrage de l’ordinateur était connu de tous, facile à trouver ou à pirater. Je constate que les données incriminées ont été transférées vers une clé USB qui n’a pas été retrouvée. Enfin, je constate qu’UNE incohérence apparaît dans les listings de bornage du téléphone mobile du présumé innocent, qui prouve que les choses se passaient dans son dos : il est innocent.
Il a été relaxé.
Me McKie m’a raconté qu’une fois dans une affaire de drogue où son client contestait fermement sa participation au trafic, et où il avait plaidé la relaxe, convaincu de son innocence, le client était venu (libre) le remercier à la sortie du tribunal, et lui avait dit « vous savez Maître, je ne recommencerai plus« .
Je ne suis pas fait pour ce métier.
Bonsoir
Entre ce témoignages ou les plus anciens qui décrivent les expertises judiciaires et tous les histoires de la vie du blog, finalement, je ne sais pas ce qui est le plus dur.
Mais je fini par me dire que je n’aurais jamais pu faire le métier d’avocat.
Bon courage a vous.
Et bonne année (il est encore temps).
Merci <3
Si on voit les choses à froid, vous n’avez pas disculpé un pédophile. Vous avez aidé à prouver qu’une personne accusée de pédophilie ne l’était pas.
Bidouillant sur le net depuis quasiment son arrivée en France, je serais très méfiant si les seuls motifs d’accusation de pédophilie d’un individu était le contenu de son disque dur. Je ne vais probablement rien vous apprendre, mais je vais expliquer pourquoi afin que d’autres lecteurs comprennent. NB: j’utilise mon mon langage qui est celui d’un amateur éclairé, pas d’un pro.
Le piratage d’ordinateurs ne sert pas qu’à agresser le propriétaire de l’ordinateur. Cela peut aussi être un moyen de se servir de cet ordinateur pour d’autres fins.
Par exemple, installer sur cet ordinateur un programme qui va, sur ordre du pirate, tenter de se connecter à répétition à un serveur donné. Si plusieurs milliers d’ordinateurs se connectent simultanément, le serveur tombe: attaque par déni de service. Lorsque la police cherche les ordinateurs qui ont attaqué le serveur, elle ne tombe pas sur celui du pirate mais sur ceux des personnes dont l’ordinateur a été piraté.
Dans le cas de la pédophilie… supposons un réseau de pédopornographie. Le « gérant » de se réseau sait que si les milliers de fichiers pédopornographiques sont retrouvées sur son propre ordinateur, il risque beaucoup plus gros que s’il a simplement consulté de tels fichiers. Il a donc tout intérêt à utiliser un logiciel qui lui permettra de pirater les ordinateurs de personnes innocentes et d’héberger dessus les fichiers pédopornographiques. En cas de problème, c’est cette personne innocente qui sera accusée (à moins qu’un Zythom explique que ce n’est pas si simple)
C’est pourquoi il faut expliquer à votre vieux tonton ou votre jeune nièce que la sécurité de son ordinateur personnel, ce n’est pas juste un truc pour l’embêter.
Avec la bande passante actuelle (fibre, 5G) et surtout le débit ascendant phénoménal comparé à l’ADSL, la faisabilité de tels serveurs pirates devient encore plus facile à faire. Du temps d’un modem 56k, Tonton aurait vite ronchonné si la connexion devenait lente à cause de trafic parasite. Mais maintenant, il est probable qu’il ne s’en rende même pas compte.
Utiliser les ordinateurs de tiers pour des activités criminelles ne se fait pas sans y laisser de traces. S’en servir comme espace de stockage n’est pas discret. Cette explication me semble un peu farfelue.
Que certains utilisent les accès wifi, insecures par nature, de tiers, leurs voisins par exemple, pour télécharger des images de viols d’enfants, admettons, c’est tout à fait du domaine du possible. Avoir un disque dur plein de telles images à son insu, beaucoup moins.
Dans l’exemple du jour, l’expert a mis en avant le fait que l’ordinateur n’était pas sécurisé, que trop de monde « extérieur à la cellule familiale » y avait un accès physique. C’est un cas de figure pas banal s’il s’agit d’un ordinateur familial. Le travail de l’expert mis en relation avec des données de téléphonie déterminerait que le suspect ne pouvait en être l’auteur vu les horaires d’accès/modifications des fichiers. Soit, un innocent a donc été sorti du bois. Un innocent qui ignore parfaitement qui pouvait bien régulièrement utiliser son ordinateurs aux horaires en question ? Et encore, il est question d’UNE incohérence. Une seule ? Cela suffirait à expliquer son innocence ?
Evidemment sans connaître le cas particulier dont parle l’expert, il faut distinguer le concept légal de présomption d’innocence et l’échec pratique à démontrer une culpabilité.
Le doute profite bien sûr à l’accusé. Il est innocent aux yeux de la loi, bien sûr. Pour autant, s’il existe un doute, on n’a donc pas la certitude de cette innocence réelle. En cas de crime parfait, il y a bien un criminel.
D’où l’amusante conclusion : « vous savez Maître, je ne recommencerai plus ». Il est évident que travailler du côté de la défense, ça signifie admettre que son action puisse signifier permettre des criminels de continuer à agir, si la justice se révèle défaillante pour établir la verité. Ca pose une question morale, ce n’est pas pour tout le monde.
@Marcel
Je suis d’accord, j’ai fais un peu de hors sujet, ce n’est pas le cas présenté ici. J’ai voulu présenter un cas possible ne nécessitant pas d’accès à l’ordinateur du suspect.
« Utiliser les ordinateurs de tiers pour des activités criminelles ne se fait pas sans y laisser de traces. S’en servir comme espace de stockage n’est pas discret. Cette explication me semble un peu farfelue. »
Ca me rappelait quelque chose. Il faut dire que je lis plusieurs blogs de cybersécurité et parfois je ne sais plus où j’ai trouvé quoi.
Je vous renvoie à un article publié sur ce blog en 2012:
https://zythom.fr/2012/04/le-plein-de-pr0n/
🙂
Résumé: « Jean-Pierre » trouve que franchement son ordinateur d’entreprise est devenu très très lent. Il fait appel au technicien de la boite qui trouve que c’est normal: le PC de « Jean-Pierre » est truffé de porno. Viré, le Jean Pierre!
Cas concret. Remplacez la pornographie légale de Jean Pierre par de la pédopornographie et vous aurez non pas un licenciement mais une garde à vue gratinée!
Je cite Zythom à la fin de cet article de 2012:
« je n’accuse jamais un utilisateur pour ce que je peux trouver sur son poste de travail. »
Pour en dire plus:
1) la plupart des particuliers pensent que leur ordinateur, leur smartphone est aussi simple qu’une calculatrice. On leur a vendu avec cet argumentaire. Si le réseau ralenti, si le disque dur ou la batterie surchauffe, ils ne se poseront pas trop de questions. Certains logiciels légitimes déclenchent parfois ces symptômes…
2) Je n’ai pas de connaissances précises sur l’art d’installer un serveur sur l’ordinateur d’autrui. Mais je sais que dans ma jeunesse, il y avait beaucoup d’arnaques sous la forme de jeux « gratuits » téléchargeables. Quand on les exécutaient, ils installaient en bonus un virus, un cheval de Troie, etc. (de là à imaginer que la charge virale soit un serveur, ça ne me semble pas impossible. Cf BO (1998)).
Avec l’accord de Zythom, -qu’il édite mon commentaire si besoin est- je vous invite aussi à consulter ce blog krebsonsecurity.com , tenu par un journaliste qui s’intéresse à la cybercriminalité. D’après lui, il est faisable d’installer un serveur, par exemple de pornographie, sur l’ordinateur d’autrui. Il est aussi possible de mettre en place de nombreux serveurs afin que, si une victime nettoie son ordinateur, les autres prennent le relais.
D’après ses articles, il est aussi possible que le pirate souhaite compromettre sa « cible » et pour cela installer des fichiers douteux sur son disque dur. Une variante du swating, je suppose.
Enfin, d’après ce journaliste, si le mafieux n’a pas les compétences requises, il peut de plus en plus trouver des gens qui louent leurs services. Des ESN du crime, en quelque sorte.
3)Laisser aucune trace, non, mais que faire si les traces du pirate pointe vers un pays avec lequel la France n’a aucun traité d’extradition? Voir un pays avec lequel la France est en conflit…?
L’ordinateur de « Jean Pierre » se connectait à Taïwan. Et qui sait, l’ordinateur taïwanais se connectait peut-être lui même ailleurs?
>J’ai l’impression d’avoir perdu une part de mon humanité en m’étant endurci et insensibilisé.
Je ne pense pas que ce soit le cas. Vous n’avez pas perdu votre part d’humanité en tout cas. Vous êtes comme un médecin, un cancérologue qui chaque jour est confronté à des patients dont une bonne proportion vont mourir. Si vous vous prenez cela de plein fouet, sans protection mentale, vous allez craquer et ne pourrez plus faire ce métier. Donc vous ne pourrez plus sauver ces gens et beaucoup plus d’entre eux mourront.
Mais il y a une différence entre dresser dans son esprit une protection mentale contre l’horreur et se déshumaniser. Un médecin déshumanisé traiterait ses patients comme des statistiques, ne serait pas capable d’empathie à leur égard. Un Zythom déshumanisé serait aussi indifférent aux images pédopornographiques qu’à des images de fleurs. Ce n’est pas le cas. Vous êtes toujours affecté. L’image de Yéléna vous choque toujours autant. Vous vous hérissez au seul mot de pédophile. Simplement vous avez appris à vous protéger assez afin de pouvoir faire votre travail, aussi dur soit il. Tout le monde n’y arrive pas.
Dernier point:
“vous savez Maître, je ne recommencerai plus“.
Maitre Mo a raconté une fois l’histoire d’un homme qu’il avait défendu et qu’il a appris plus tard être coupable. Etant tombé pour autre chose. Un jour ou un autre, ils finissent tous par tomber.
Et pensez à l’inverse: un innocent (vous, votre femme, etc, par exemple) condamné à tort, avec tout le stigma social… Demandez à ceux qui ont été emprisonné à tort ou même simplement mis en garde à vue à tort (affaire d’Outreau) cela que cela fait…
bonjour,
j’adore la réflexion finale du dealer.
question technique : vous indiquez que « les données incriminées ont été transférées vers une clé USB qui n’a pas été retrouvée ». Le nom des fichiers copiés sur clef sont logués avec une ref. de matériel ou bien c’est plutôt que l’OS enregistra quand il monte et démonte les clefs ? ou autre
Benoît
ça dépend de l’os, mais pas sûr que tout soit gardé dans les logs systèmes. Si c’est comme Linux, tu as la ref « model » de la clé ex: « kingstone » et un UUID.
Il doit voir les logs systèmes de l’event « clé monté », peut-être le modèle dans un autre logs, et un event de move/copie vers disque X correspondant au point de montage, je pense que c’est un recoupage de plusieurs points. Dans ce cas, la perquisition n’a pas retrouvé la clé avec l’UUID tracé dans les logs.
Merci pour la réponse car cette question m’intéresse aussi, c’est fou ce que le système peut garder comme info