Informaticien Ex²pert Judiciaire, Irresponsable de la SSI, 3 enfants, marié à une avocate (ma vie n'est pas facile). Clé PGP: 0u 41-j3 m15 c3773 pu741n d3 cl3f
Je ne suis pas très friand de mondanités et j’arrive à échapper à presque toutes les rencontres informelles entre experts de justice et magistrats. Je n’aime pas l’idée de me mettre en valeur pour me vendre, et les conversations sont souvent monopolisées par quelques égos inopportuns.
Pour autant, il m’est arrivé de me retrouver invité à une audience solennelle où un confrère a eu l’idée curieuse de me présenter au nouveau magistrat instructeur. Pensant échanger quelques banalités pendant cinq minutes, je fus surpris lorsqu’il me demanda « Bon, qu’est-ce que vous savez faire? ».
Moi: « Heu, ben, heu, je sais extraire des informations d’un disque dur… »
Lui: « Oui, certes, mais qu’est-ce que vous savez faire d’extraordinaire? »
Moi: « Ben, en fait, rien d’extraordinaire. Je connais bien les procédures, je connais bien l’informatique, mais je ne vois rien de particulièrement extraordinaire à raconter. »
Lui: « Ah bon? Là d’où je viens, je travaillais avec un expert capable de faire parler les imprimantes »
Moi: « Ah, ça ! Oui, cela va dépendre du modèle et du contexte mais il ne devrait pas y avoir de problème. »
Et me voilà parti dans un exposé général sur la technologie des imprimantes, où j’explique que j’ai déjà eu à démonter une vieille imprimante pour y chercher un composant de stockage. J’ai parlé des photocopieurs/imprimantes en expliquant comment récupérer les dernières impressions stockées sur le disque dur interne du photocopieur.
Parfois les données sont chiffrées par le constructeur, il faut alors le contacter pour pouvoir récupérer les informations.
Pour les imprimantes des particuliers, le plus simple reste d’analyser le contenu du disque dur des ordinateurs qui conservent trace des fichiers générés lors des impressions. Il « suffit » de disposer des logiciels analysant les différents langages d’impression utilisés par les constructeurs d’imprimante.
Le magistrat m’écoute attentivement, puis me dit d’un regard amusé : « un grand pouvoir donne une grande responsabilité… »
Je n’ai jamais su s’il faisait référence à Winston Churchil ou à Spider-Man. Ni s’il évoquait l’intrusion dans le monde du secret, du confidentiel, de la vie privée. Ou s’il se moquait gentiment de moi.
Mais depuis, quand je passe près d’une imprimante, je pense « toi, si tu pouvais parler, qu’est-ce que tu pourrais raconter? »
Et parfois, cela me fait peur.
Duplicateur à alcool de mon enfance – crédit Prosopee, CC BY-SA 3.0, via Wikimedia Commons
Si vous avez une machine de gamer (ou une machine de minage ^^) et que vous êtes autorisés à mener des tests de sécurité informatique sur un site web donné, alors cet article peut vous intéresser.
J’insiste quand même sur l’aspect autorisation : veillez bien à demander par écrit l’autorisation au gestionnaire du site web, pensez aux CGU de votre FAI, à l’hébergeur du site web, à son CDN éventuel, etc. Je ne voudrais pas être missionné pour accompagner la maréchaussée à 6h du matin à votre domicile…
Ce billet est destiné aux étudiants passionnés de cybersécurité. Les attaquants et les défenseurs professionnels savent déjà tout cela.
Première étape : installer ollama
Le logiciel ollama permet de faire fonctionner localement un grand nombre de LLM disponibles en téléchargement. Cela garantit confidentialité, flexibilité et gratuité. Vous trouverez toutes les explications sur leur site : https://docs.ollama.com/quickstart
Vous choisirez la configuration qui vous correspond, pour ma part, j’utilise une machine Windows avec les derniers pilotes NVIDIA, avec un WSL Ubuntu. J’ai installé sur cette machine trois anciennes cartes graphiques GTX 1080 TI achetées à bas prix sur le BonCoin…
Une fois ollama installé, vous pouvez télécharger un LLM (vous trouverez la liste des LLM disponibles sur https://ollama.com/search) avec une commande du type :
ollama pull qwen3
Vous pouvez alors déjà vous amuser à questionner le LLM sur votre machine, en toute confidentialité, avec la commande :
ollama run qwen3
Deuxième étape : installer Cybersecurity AI (CAI)
Cybersecurity AI (CAI) est un framework open source léger qui permet à des passionnés de la cybersécurité d’utiliser des LLM pour des analyses offensives et défensives. CAI fournit les éléments de base pour créer des agents IA spécialisés qui peuvent vous aider à atténuer les risques, à découvrir les vulnérabilités, à exploiter les failles et à évaluer la sécurité. Comme toujours avec ce genre d’outils, il est à manipuler avec précaution.
Vous pouvez alors lancer l’outil avec la commande cai
Commencez par sélectionner le LLM avec lequel vous souhaitez travailler, avec la commande suivante
/model qwen3
Puis choisissez le profil que vous souhaitez lui voir endosser parmi la liste suivante :
/agent list
Dans mon cas, je vais choisir le profil « Red Team Agent » avec la commande suivante :
/agent redteam_agent
Choisir ce profil donne comme consignes au LLM les instructions suivantes :
You are a highly specialized red team agent focused on system penetration and privilege escalation.
Your primary objective is to gain root access and find flags. Your capabilities include:
• Network scanning and enumeration • Service exploitation • Password attacks and brute forcing • Privilege escalation techniques • Post exploitation tasks
For each target:
• Perform thorough enumeration • Identify vulnerable services and misconfigurations • Execute targeted exploits • Escalate privileges • Search for flags and sensitive data
You never stop iterate until root access is achieved Use appropriate tools for each phase If stuck, return to thought agent for new approach
Key guidelines:
• Never execute interactive commands that trap user input • All commands must be one-shot, non-interactive executions • Avoid tools like hash-identifier that require user interaction • Use automated alternatives like hashid instead of hash-identifier • For password cracking, use non-interactive modes (-a for hashcat) only hashcat • For shells, use one-liner reverse shells or web shells • Pipe input directly into commands rather than interactive prompts • Always specify timeout values for commands that could hang • Use –batch or non-interactive flags when available • Validate command will complete without user input before executing
Don’t try the same approach repeatedly Execute one command at a time Document all findings and progress
You can create and manage interactive shell sessions for commands like netcat, SSH, etc.
• To start a new session: Use generic_linux_command with commands like nc, ssh, etc. • To list active sessions: generic_linux_command(« session », « list ») • To get output from a session: generic_linux_command(« session », « output « ) • To send input to a session: generic_linux_command(« », « », session_id= » ») • To terminate a session: generic_linux_command(« session », « kill « )
Vous pouvez alors commencer à lui demander en langage naturel d’effectuer des tâches de « red team », comme par exemple, si vous êtes chez vous, avec l’autorisation du daron ou de la daronne (ou de l’admin réseau) :
gain access to my router
Ce qui me fascine un peu est ce sentiment de travailler avec un collègue débutant qui me dit « je voudrais utiliser la commande « dirb » mais elle n’est pas installée ». Je l’installe donc, et lui demande de recommencer, ce qu’il fait jusqu’au problème suivant. Je découvre au passage certaines commandes. C’est donnant-donnant.
N’oubliez pas que les outils d’IA sont des outils bêtes, à utiliser avec intelligence.
Être expert judiciaire en informatique, c’est devoir être prêt à tout et devoir tout savoir sur tout en matière informatique.
Je reçois un jour une mission dans laquelle le magistrat me demande de récupérer tout un ensemble d’informations techniques (noms de domaine, mots de passe, données, etc.) pour les clients d’une entreprise informatique ayant fait faillite.
La mission demandait également de faire un inventaire complet du matériel informatique de l’entreprise afin que celui-ci soit mise en vente aux enchères, et me donnait les coordonnées du commissaire priseur qui allait organiser la vente.
Je contacte le commissaire priseur pour avoir le plus de détails techniques, même approximatifs, sur le matériel : est-ce que les ordinateurs sont sous Windows, MacOS, GNU/Linux ? Y a-t-il des serveurs ? Un réseau local avec des actifs réseaux ? Dispose-t-il de certains des mots de passe (en particulier ceux des comptes admin) ?
A la fin de notre appel téléphonique, le commissaire priseur m’informe qu’il dispose des clefs permettant de rentrer dans l’entreprise… Oups, j’avais omis de poser cette question. Ouf donc, et nous prenons rendez-vous.
Le jour J, j’ai posé une journée de congés, j’ai rempli ma voiture de tous les matériels qui pourraient me permettre de résoudre tous les problèmes inconnus qui pourraient se présenter : j’ai tous les types de câbles, tous les connecteurs de branchement, une quantité impressionnante de disques durs, de clés USB, de chargeurs, etc. J’ai ma machine d’analyse pour casser les mots de passe, les DVD de boot adéquats, les tournevis de tous types pour ouvrir les machines… Et de quoi me nourrir car l’entreprise est à 100 km de mon domicile.
J’arrive sur place à l’heure convenue, et le commissaire priseur m’ouvre les portes. Nous faisons rapidement le tour du propriétaire, et je m’assure avoir bien accès à toutes les pièces, y compris la salle serveur.
Je m’apprête à remplir mes missions quand soudain un horrible doute me prend.
Je me tourne vers le commissaire priseur : « Y a-t-il de l’électricité ? » « Non, le compteur a été coupé il y a plusieurs mois. » « Et comment vais-je analyser le contenu des ordinateurs ? » « Ben c’est vous le spécialiste. »
200 km pour rien, une journée de perdue.
Maintenant je sais quelle question il faut ajouter à ma « check list » d’avant expertise.
Création Zythom avec Gemini 2.5 Flash – Le prompt utilisé est en ALT.
Un expert judiciaire en informatique se doit de disposer de logiciels (parfois forts onéreux !) permettant de récupérer les fichiers effacés sur les disques durs saisis. Cela demande la très bonne maîtrise de ces logiciels, mais aussi la meilleure compréhension des concepts sous-jacents parfois complexes concernant les supports de stockage : le rôle du système de fichiers, l’organisation physique du disque (pistes, secteurs, clusters…), la structure logique associée, les métadonnées, les tables d’allocation, le partitionnement, les volumes, les couches d’abstraction comme le FTL, etc.
C’est indispensable lorsque l’on intervient pour une expertise de disque dur. Mais parfois, les choses se passent de manière beaucoup plus simple…
Dans une expertise où j’accompagnais la maréchaussée lors d’une perquisition, une fois les mots de passe obtenus sur simple demande (Ah le prestige de l’uniforme…), j’étais prêt à sortir tout mon savoir faire pour impressionner mon petit monde. J’avais dans mon coffre de voiture ma station d’analyse de disque dur après copie bit à bit avec bloqueur d’écriture, j’avais tous les câbles de branchements possibles, j’avais une grande capacité de stockage à base de disques durs vierges.
Le magistrat instructeur qui m’avait missionné demandait dans son ordonnance de consulter d’abord le matériel sur place, et de ne procéder à sa copie et mise sous scellés qu’en dernier recours.
J’avais donc allumé l’ordinateur du suspect, et j’étais concentré à parcourir son disque dur, en présence des gendarmes qui discutaient entre eux. A un moment, le gendarme qui regardait l’écran par dessus mon épaule me dit: « tiens la corbeille n’est pas vidée ».
« Oui, oui, j’ai vu » répondis-je. « Je regarde un peu l’organisation générale des données pour me faire une idée ».
Je finis quand même par ouvrir la corbeille.
J’ai alors une bonne surprise : la totalité des documents supprimés depuis le début de l’utilisation de cet ordinateur se trouvaient encore dans la corbeille ! Tous les documents qui intéressaient l’enquêteur s’y trouvaient, car le propriétaire de la machine pensait qu’il suffisait de faire « supprimer » pour détruire définitivement un fichier. Le suspect avait ainsi regroupé en un seul endroit tous les documents qu’il voulait cacher. Il ne restait plus qu’à les récupérer et les ouvrir un par un.
C’est vrai que mes honoraires dans cette expertise ont du avoir du mal à passer auprès du gendarme que j’accompagnais… Mais j’ai des frais : il faut que je rembourse mes logiciels d’investigation, mes câbles, mes disques durs…
Création Zythom avec Gemini 2.5 Flash – Le prompt utilisé est en ALT.
J’ai de moins en moins d’énergie pour écrire sur ce blog, entre les navettes Province/Paris, mon travail de RSSI, mes bidouilles diverses, ma vie privée… Mais que les abonnés au flux RSS du blog se rassurent, il me reste dans mes archives un stock d’anecdotes sur mon ancienne activité d’expert judiciaire que je compte bien publier ici. Et puis je suis toujours expert près la cour d’appel administrative de mon ressort, et expert européen, ce qui ne lasse pas de m’étonner.
Ce n’est pas le temps qui me manque, c’est l’énergie. Sans doute une conséquence de mon burn out et de ma perte de confiance et d’estime de moi.
Subséquemment j’ai décidé de reprendre une rubrique intitulée « Rediffusion » où je vais rafraîchir quelques billets déjà publiés et qui, je pense, ont droit à une seconde vie. Ce sera l’occasion pour moi de faire vivre aussi un peu mes comptes de réseaux sociaux où je suis plutôt un observateur silencieux.
J’imagine un rythme d’un billet par semaine.
Je vais également modifier le choix des photos d’illustration : ce choix me prend beaucoup de temps et pose un problème de droits d’utilisation pas toujours facile à respecter dans le temps. Je vais donc produire moi-même les illustrations avec mon appareil photo et/ou des logiciels de création ou de retouche d’images. J’espère que vous serez indulgents.
Création Zythom avec Gemini 2.5 flash – le prompt utilisé est en ALT
Ce billet est une mise à jour des billets écrits sur le même sujet sur ce blog.
Qu’est-ce qu’un.e expert.e judiciaire ?
L’expert.e judiciaire est une personne qui apporte son concours au juge dans des affaires pour lesquelles elle est désignée. Elle est chargée de donner au juge un avis technique sur des faits pour apporter des éclaircissements dans une affaire. Les spécialités des professionnels pouvant exercer des missions d’expertise judiciaire peuvent être très variées : médecine, architecture, gemmologie, traduction et interprétariat, comptabilité… Après avoir consulté un.e expert.e, les juges restent libres de leur décision et ne sont pas tenus par les conclusions de l’expert.e. [Source https://lajusticerecrute.fr/metiers/expert-ou-experte-judiciairee]
Un expert judiciaire, c’est quelqu’un qui est inscrit sur une liste tenue par une Cour d’Appel. Le simple fait d’être inscrit sur cette liste donne le droit d’utiliser le titre « d’expert près la Cour d’Appel de ».
Pour être inscrit sur cette liste, vous devez avoir un « vrai » métier (celui qui vous fait vivre). Les magistrats qui gèrent cette liste considèrent que l’activité d’expert judiciaire doit être une activité annexe, ce qui me semble tout à fait raisonnable, tant il serait dangereux de vivre uniquement aux crochets des régies judiciaires, qui payent souvent avec beaucoup de retards (lire ce billet par exemple).
Le titre d’expert judiciaire est un titre prestigieux… Ou du moins qui jouit d’un certain prestige. Beaucoup de personnes aimeraient bien l’ajouter sur leur CV ou sur leur carte de visite. Certains considèrent même qu’il s’agit de la consécration ultime d’une carrière professionnelle, une forme de reconnaissance auprès de leurs pairs. Mais ne vous y trompez pas, en demandant à être inscrit sur une liste de Cour d’appel, vous acceptez seulement de consacrer une partie de votre temps au service de la justice et de lui apporter votre concours, vos connaissances techniques, votre expérience professionnelle en exécutant telle mission qui peut vous être confiée par une juridiction.
Devenir expert judiciaire : mode d’emploi.
La procédure pour devenir expert judiciaire est relativement simple: il vous suffit de déposer un dossier avant le 1er mars de chaque année auprès du procureur de la République. Votre dossier va suivre tout un parcours, et s’il est accepté, vous verrez votre nom inscrit sur une liste gérée par votre Cour d’Appel. L’inscription sur cette liste fait de vous un expert judiciaire. Bravo cher confrère ou chère consœur.
Le dossier de demande d’inscription sur la liste des experts judiciaires doit comprendre toutes les précisions utiles permettant de juger de la qualité de votre candidature, notamment les renseignements suivants :
1° Indication de la ou des rubriques ainsi que de la ou des spécialités dans lesquelles l’inscription est demandée. Le nomenclature des spécialités a été révisée en 2022 dans un arrêté du 5 décembre que vous trouverez sur le site LégiFrance en suivant ce lien.
Extrait : E.1. Electronique et informatique. E.1.1. Automatismes industriels, automates programmables, électromécanique, systèmes embarqués. E.1.2. Internet, réseaux sociaux et communications électroniques (acquisition des contenus, e-commerce). E.1.3. Ingénierie des systèmes, logiciels et matériels (conception, développement, mise en œuvre, maintenance, résolution des incidents…). E.1.4. Ingénierie des projets informatiques (conception, organisation, relations contractuelles, respect du cahier des charges et de l’expression des besoins…). E.1.5. Ingénierie des télécommunications et des réseaux (infrastructure, mise en œuvre…). E.1.6. Cyber malveillance, sécurité informatique. E.1.7. Objets connectés (Internet des objets ou » IoT « ). E.1.8. Robotique, intelligence artificielle. […] F.5.5. Biostatistiques – Informatique médicale et technologies de communication.
2° Indication des titres ou diplômes du demandeur, de ses travaux scientifiques, techniques et professionnels, des différentes fonctions qu’il a remplies et de la nature de toutes les activités professionnelles qu’il exerce avec, le cas échéant, l’indication du nom et de l’adresse de ses employeurs. En terme plus simple, ressortez votre CV et mettez le à jour.
3° Justification de la qualification du demandeur dans sa spécialité. Vous avez des lettres de recommandation, des courriers de vos pairs qui admirent vos compétences, c’est le moment de les sortir de leurs cadres et d’en faire une photocopie.
4° Le cas échéant, indication des moyens et des installations dont le candidat peut disposer. Vous travaillez dans une université ou dans une grande entreprise dont vous avez le droit d’utiliser les installations pour une prestation extérieure officielle, si possible gratuitement, alors c’est le moment de le signaler par écrit. L’institution judiciaire est si mal pourvue en budget par les politiques en charge des affaires…
Un coup d’œil sur le site web de votre Cour d’Appel est indispensable pour savoir s’il faut des documents complémentaires (photos, etc.) et pour télécharger le document intitulé « dossier de candidature ».
Faut-il une formation particulière ?
Oui, depuis le décret n°2023-468 du 16 juin 2023, il est demandé dans l’article 2 aux candidats à l’inscription sur une liste dressée par une cour d’appel, de justifier d’une formation à l’expertise. Vous trouverez différentes formations à l’expertise, à des prix très variés, sur vos moteurs de recherche préférés, ou mieux, en vous renseignant auprès de la compagnie pluridisciplinaire de votre cour d’appel.
Pour ma part, je n’ai jamais suivi ce type de formation à l’expertise, car j’ai la chance d’être marié à une avocate, et d’avoir été inscrit avant que ces formations ne soient obligatoires.
Soyez bien conscient que de suivre une formation à l’expertise (diplômante ou non), n’est en rien une garantie d’être ensuite inscrit sur la liste des experts judiciaires.
Une fois inscrit sur la liste des experts judiciaires, vous aurez des sessions de formation obligatoire à suivre, en particulier sur la procédure. Ne les manquez pas !
Comment s’effectue le choix parmi les candidatures ?
La décision d’inscription est prise par l’assemblée générale des magistrats du siège après enquête du Parquet.
C’est en fonction des besoins exprimés par les juridictions du ressort que l’assemblée générale de la cour d’appel apprécie les mérites des candidatures en veillant à ne retenir que celles déposées par d’excellents professionnels présentant, par ailleurs, des garanties de moralité, d’impartialité, d’indépendance et de disponibilité.
Je n’en sais pas plus. La procédure de sélection est relativement opaque : vous pouvez voir un dossier fantastique, mais postuler une année où la Cour d’Appel n’a pas de besoin, ou inversement… Vous ne devez pas être déçu de ne pas être inscrit dès la première demande. Le nombre d’experts retenus tient à des facteurs indépendant des candidats, comme l’évolution du nombre d’expertises, le nombre d’experts dans une discipline, les orientations générales de la Chancellerie ou encore à d’autres facteurs relatifs à l’institution judiciaire. Seuls les magistrats pourraient indiquer quels sont les critères qui tiennent aux candidats eux-mêmes. Au vu des pièces demandées, on peut toutefois estimer que les magistrats examinent la compétence, l’expérience, la notoriété, la disponibilité, l’indépendance et les moyens de remplir les missions que présentent les candidats.
Le rejet de la demande d’inscription sur la liste des experts, doit être spécialement motivé : l’assemblée générale des magistrats du siège, doit mettre l’intéressé en mesure de connaître les raisons pour lesquelles sa demande a été rejetée (source Dictionnaire du Droit Privé de Serge Braudo).
Un conseil: après un refus, ne pas hésiter à représenter sa candidature l’année suivante, surtout si l’on peut faire valoir des éléments nouveaux.
Conclusion.
Il vous reste jusque fin février pour déposer votre dossier (qui doit être arrivé avant le 1er mars). N’oubliez pas de relire quelques billets de ce blog dans la rubrique Expert, et en particulier celui-ci avant de vous lancer dans l’aventure.
Pour casser un peu le mythe, la lecture de ce billet peut être utile…
Si votre demande est acceptée, vous serez convoqué pour prêter serment. C’est aussi le bon moment pour contacter une compagnie d’experts pour parler formations, procédures, assurance, et pour comprendre également dans quel guêpier vous êtes tombé avant de contacter les impôts, l’URSAFF et autres joyeusetés à qui vous allez expliquer votre activité (et comment ils doivent la gérer).
Je viens de fêter mes soixante deux années de rotation autour du soleil. Et plutôt que de vous parler d’expertise, d’IA ou de cybersécurité, je voulais vous parler un peu de comment je perçois cet âge vénérable dans le milieu professionnel auquel j’appartiens.
En premier lieu, toutes les personnes autour de moi me paraissent jeunes. Je suis l’une des personnes les plus vieilles de l’entreprise, qui compte environ 1600 salariés, et donc dans toutes les réunions, y compris celles avec les dirigeants, actionnaires et directeurs, je suis souvent celui qui est le plus âgé.
Lors des discussions informelles, j’ai appris à me taire pour laisser les « jeunes » (c’est-à-dire tous les autres) raconter leurs anecdotes, en particulier celles de leurs débuts en informatique. Les plus jeunes ne connaissent pas les blogs, et plus personne ne se souvient du SICOB où je regardais avec des yeux d’adolescent admiratif de grosses imprimantes matricielles cracher des dessins ASCII sur du papier perforé…
Le regard du monde de l’entreprise sur les plus de 60 ans est assez terrible : pour beaucoup, les plus de 60 ans sont des retraités. Et dans l’imaginaire collectif, un retraité, c’est une personne inactive en vacances perpétuelles, qui pense que c’était mieux avant et qui râle sur ces jeunes, tous des incapables.
Je soigne un peu mon aspect physique pour éviter d’être trop vite catalogué « petit vieux ». Je me suis rasé complètement la tête pour éviter de laisser apparaître ma calvitie entourée de cheveux blancs. Les chauves sont mieux acceptés, aujourd’hui, qu’à l’époque de Jules César.
J’ai accumulé une énorme expérience que je mets à la disposition de mes alternants et de mon équipe cyber, et en particulier de ma red team. Je pense qu’ils apprécient que je leur reconnaisse une bien meilleure maîtrise technique que moi, et de temps en temps je les surprend avec une commande qu’ils ne connaissent pas, ou avec un outil qui vient de sortir. Je reste dans la course.
Le jargon de l’entreprise est également un marqueur générationnel que je prends soin d’éviter, souvent à mon grand regret : les anglicismes pullulent, aussi bien dans les sigles que dans les mots. J’aime beaucoup les expressions désuètes, mais celui qui les utilise est vite catalogué senior. J’ai donc fini par abandonner mes « visuels » et « transformation numérique », pour utiliser les « slides » et « transfo digitale » utilisés par tous les autres. Il y a longtemps que je ne dis plus « je vais vous présenter quelques transparents » 😉
Enfin, il y a les références sociétales très utiles à la machine à café, mais souvent je n’ai pas « la réf » : je ne connais pas Nicocapone, ni le dernier clash à la mode sur les réseaux sociaux depuis que j’ai drastiquement réduit ma consommation… Mon univers social se réduit de plus en plus à celui de mes 20 ans : l’IA, les bidouilles sur mes ordis, le hacking. En ce moment, j’explore mon entourage hertzien avec mon flipper zéro. Retour à la case nerd.
Petit mémo de mon passage de Debian 12 (Bookworm) à Debian 13 (Trixie) en quelques commandes. Tout d’abord, et avant tout, pensez à faire une sauvegarde complète de votre système pour pouvoir revenir en arrière en cas de problème (si votre machine est une VM, faites en un clone par exemple).
Etape 1 : partir d’un système propre sudo apt update sudo apt upgrade sudo apt full-upgrade sudo apt –purge autoremove sudo reboot
Etape 2 : préparer la migration cat /etc/debian_version mkdir ~/apt.old cp /etc/apt/sources.list ~/apt.old cp -r /etc/apt/sources.list.d/ ~/apt.old sudo sed -i ‘s/bookworm/trixie/g’ /etc/apt/sources.list sudo sed -i ‘s/bookworm/trixie/g’ /etc/apt/sources.list.d/*
Etape 3 : faire une mise à jour minimale sudo apt update sudo apt upgrade –without-new-pkgs
Etape 4 : si tout va bien, faire la mise à jour complète sudo apt full-upgrade sudo reboot
En tant que responsable de la sécurité des systèmes d’information de mon entreprise, j’ai plusieurs missions, dont celle de la sensibilisation à la sécurité informatique de mes utilisateurs. Pour cela, j’utilise plusieurs approches : les messages de sensibilisation (phishing, ransomware, etc.), les messages opportunistes lorsqu’une crise (chez les autres) est médiatisée, les vidéos de sensibilisation, les interventions dans les services, auprès du COMEX, etc.
Je fais intervenir des sociétés spécialisées dans les attaques éthiques, pour aller plus vite et pour avoir un regard externe, regard externe qui est souvent mieux perçu que celui du local de l’étape. Mais je mène parfois des audits internes moi-même. Voici un retour d’expérience que je partage avec vous, parce que cela illustre (pour les jeunes) l’un des aspects de la cybersécurité, et parce que cela peut peut-être aider un ou deux RSSI débutants qui passeraient par là, sait-on jamais.
Je précise que la méthode que je présente ici n’est qu’une des nombreuses méthodes existantes.
1ère étape : Récupérer la base de données des utilisateurs
Dans l’environnement de mon entreprise, comme c’est souvent le cas, les comptes des utilisateurs sont gérés par Microsoft Active Directory. Problème, il faut des droits particuliers pour pouvoir accéder à la base de données des utilisateurs. Or, le RSSI que je suis ne dispose pas de droits permettant cet accès…
Il m’a donc fallu contourner le problème : je suis passé par la console de gestion de mon antivirus++ que l’on appelle un EDR. En effet, la console de gestion de mon EDR me permet d’exécuter des commandes sur toutes les machines sur lesquelles cet EDR est installé.
Je me suis donc connecté sur un contrôleur de domaine secondaire pour y ouvrir un terminal particulier via la console EDR et j’ai exécuté la commande suivante :
ntdsutil "ac i ntds" "ifm" "create full c:\temp\SSI" quit quit
Cette commande crée une copie des fichiers NTDS.dit et SYSTEM qui contiennent toutes les informations utiles pour moi et les place dans le répertoire c:\temp\SSI du contrôleur de domaine. J’ai ensuite compressé ce répertoire dans une archive avec mot de passe. Puis j’ai supprimé tout le contenu de ce répertoire, par sécurité.
Problème : ma console EDR ne me permet pas de télécharger le fichier c:\temp\SSI.7z car il dépasse la taille autorisée… Il m’a donc fallu demander un peu d’aide : j’ai attendu 24h puis j’ai ouvert un ticket de demande de récupération du fichier SSI.ZIP au support informatique à partir des sauvegardes quotidiennes de cette machine. C’est passé crème.
Attention, le fait d’avoir mis les fichiers NTDS.dit et SYSTEM dans une archive avec mot de passe permet de garantir la confidentialité de ces données, surtout qu’elles se sont trouvées dans plusieurs sauvegardes, sur l’ordinateur de l’ingénieur qui a traité ma demande ET sur mon propre ordinateur…
2e étape : Constitution du plus gros dictionnaire de mots français du monde
J’ai déjà évoqué sur ce blog en détail comment j’ai eu l’idée d’utiliser tout le contenu du site Wikipédia français. Vous trouverez le résumé dans le billet intitulé « Dictionnaire français pour hashcat« , et le détail technique sur mon dépôt GitHub
Voir aussi dans ce billet l’explication de la commande awk utilisée.
Le fichier wikipedia.fr.txt ainsi obtenu contient plus de 29 millions de mots, incluant tous les mots de la langue française, mais aussi les noms de lieux ou lieux dits, les prénoms, les noms de famille, les mots surannées, le jargon de toutes les professions, les mots d’argots ou de patois, les sigles, les marques, beaucoup de mots latins ou en grec ancien, et des mots en d’autres langues courantes (anglais, allemand…) ou moins courantes (breton, corse, leetspeak…).
Bref, vous voici avec un fichier quasi parfait pour une attaque par dictionnaire.
3e étape : Préparer une machine de calcul
Pour craquer des mots de passe par une attaque par dictionnaire, il est préférable d’utiliser une machine performante. Dans mon cas, mon entreprise ne me donne pas accès à une telle machine, mais mon radiateur oui.
Les lecteurs de ce blog savent que je me suis fabriqué un radiateur qui me chauffe l’hiver tout en minant des cryptomonnaies. Ceux qui veulent en savoir plus peuvent lire ce billet. L’hiver étant fini, j’ai une machine disponible avec plusieurs cartes GPU (anciennes). Mais une machine de gamer actuelle suffirait.
La machine est sous Windows, avec WSL, mais une machine GNU/Linux serait aussi bien quand on maîtrise bien l’installation des drivers des cartes graphiques.
J’ai ensuite installé hashcat par le cassage des mots de passe, VeraCrypt pour garder en sécurité à l’abri des regards tous les fichiers et mots de passe découverts et le packet Impacket pour utiliser le script Python secretsdump.py que j’installe dans WSL.
Je peux laisser la machine travailler, et quatre heures après, j’ai cassé environ 10% des mots de passe de mes utilisateurs.
Conclusions
Il y a beaucoup de choses à dire, et sans doute beaucoup de monde à son avis sur le sujet, mais voici les actions que j’ai menées suite à la découverte (en quelques heures) de 10% des mots de passe de mes utilisateurs :
Tous les utilisateurs sont protégés par une authentification multifactorielle. La faiblesse de leur mot de passe n’est pas en soit catastrophique. Je n’ai donc pas obligé les utilisateurs dont j’ai pu craquer le mot de passe à en changer, sauf pour les comptes de service et les utilisateurs à privilèges (admin, etc.) où les mots de passe peuvent être réellement aléatoires et gérés par des coffres forts de mots de passe.
J’ai communiqué auprès de l’ensemble des utilisateurs pour les prévenir qu’il ne faut pas utiliser des mots de passe du type « AbracaDabra@2025! » qui, bien que longs et complexes (17 signes mélangeant majuscules, minuscules, chiffres, caractères spéciaux), sont trouvés par une attaque par dictionnaire. Le message est difficile à entendre, donc merci le MFA.
J’ai fait modifier les vérifications lors du changement de mot de passe, pour diminuer la probabilité de succès d’une attaque par dictionnaire.
Si vous avez des réactions constructives à ce billet, n’hésitez pas à laisser un commentaire.
