Archives de l’auteur : Zythom

A propos Zythom

Informaticien Ex²pert Judiciaire, Irresponsable de la SSI, 3 enfants, marié à une avocate (ma vie n'est pas facile). Clé PGP: 0u 41-j3 m15 c3773 pu741n d3 cl3f

Nausées visuelles

Publié le par

Dans le problème de la recherche d’images pédopornographiques, j’ai déjà abordé le démontage du disque dur et la copie du disque dur (« La vue, c’est la vie« ).

J’ai également abordé les difficultés que je rencontrais avec la reconstitution des scellés. Au passage, je recommande cette méthode (trop forts les ricains) aux experts débutants qui me lisent. Personnellement, je continue à l’ancienne avec mon bâton de cire et mon creuset, sur de vieilles étiquettes récupérées et mes sachets de congélation…

Vous avez lancé vos scripts, vos virtualiseurs et vos différents programmes d’analyses. Vous voici donc à la tête de trois tas d’images:

– les images non effacées encore stockées de façon apparente sur le disque dur;

– les images effacées, récupérables avec leurs caractéristiques liées à l’OS (chemin d’accès vers le répertoire de stockage, dates de manipulation, etc)

– les images effacées, découvertes en zone non allouée, mais sans information OS.

Seulement voilà, l’habileté de vos outils à pister la moindre trace d’images vous place à la tête de 400000 (quatre cent mille) images…

Première étape: éliminer les doublons. Vous pouvez utiliser Picasa ou mieux ftwin.

Deuxième étape: éliminer les icones. Personnellement, je procède par tri sur les tailles de fichiers. Il est rare qu’un fichier de taille inférieure à 2Ko contienne une information intéressante. Ceci étant, je n’efface rien, je mets simplement de côté pour investigations ultérieures si nécessaire.

Cette étape est périlleuse sous Windows XP car dès qu’un répertoire dépasse 3000 ou 4000 fichiers la manipulation de masse est difficile (du moins sur mon poste de travail). Alors 400000…

Troisième étape: repérer les images disposant de métadonnées renseignées de type EXIF ou IPTC. C’est souvent riche d’informations et permet également d’effectuer un classement (par date de prise de cliché, par type d’appareil photo, etc). Lire à ce sujet une anecdote sur l’excellent site de Sid (ou sur le site de l’excellent Sid:).

A ce stade, vous voici face à 100000 (cent mille) images qu’il va vous falloir étudier une à une… Comment procède-je?

Et bien, pour l’instant, je n’ai rien trouvé de mieux que de faire défiler l’ensemble des photos sur l’écran de mon ordinateur. J’utilise pour cela des logiciels très simples, comme IrfanView et Picasa. Les deux disposent d’un mode d’affichage de miniatures permettant d’afficher plusieurs images à la fois. Ils disposent également de fonctionnalités permettant d’imprimer des images sous forme de planches contact (pour le rapport).

A ce stade de l’expertise, il faut prendre la précaution de fermer la porte de son bureau parce que débute parfois une véritable descente aux enfers. Sur certaines expertises, j’ai eu droit à des collections d’images de cadavres mutilés à coups de machette, assortis des films des massacres associés. Dans un autre coin du disque se trouvaient des images d’enfants de cinq ans violés par des pédophiles.

Il faut sélectionner les images et films. Les classer. Les imprimer (pour les films, extraire les images les plus représentatives).

Cette partie de ce type d’expertise est très difficile.

J’en ai les larmes aux yeux rien que de l’évoquer.

C’est pour cela que je tiens ce blog.

Merci de m’avoir lu.

Variations autour de 300

Publié le par

Le billet précédent était le 299e et a été l’occasion d’une fête à tout faire sauter. Me voici donc avec un billet portant un beau numéro bien rond.
J’ai beau être un peu fâché avec les chiffres ronds (au point que certains m’affublent à tort de TOC!), j’aime les nombres un peu particuliers. Et 300, comme chacun sait, est un nombre un peu à part.

D’abord, c’est un nombre triangulaire. En effet 300=24*25/2, c’est-à-dire un triangle équilatéral de côté 24…

Ensuite, c’est la somme de dix nombres premiers consécutifs 300=13+17+19+23+29+31+37+41+43+47, et la somme de deux nombres premiers jumeaux (nombres premiers séparés de 2): 300=149+151.

300 est un nombre de « grande joie », car il est divisible par la somme de ses chiffres.

Au bowling, c’est le score parfait (300=douze strikes consécutifs). Pour l’instant, j’en suis très loin sur la Wii Sport… Plus en tout cas que sur le flipper 300 des années 1970!

300, c’est aussi un nombre d’actualité puisque c’est paraît-il le nombre de décisions qui vont changer la France.

300K, c’est à peu près la température moyenne de la Terre (profitez en!).

L’article 300 du Code Civil dit ceci: « Chacun des époux séparés conserve l’usage du nom de l’autre. Toutefois, le jugement de séparation de corps ou un jugement postérieur peut, compte tenu des intérêts respectifs des époux, le leur interdire. » alors que celui du Code de Procédure Pénale dit: « Si les accusés ne se concertent pas pour récuser, le sort règle entre eux le rang dans lequel ils font les récusations. Dans ce cas, les jurés récusés par un seul, et dans cet ordre, le sont pour tous jusqu’à ce que le nombre des récusations soit épuisé. »

Il n’y a pas d’article 300 dans le Code Pénal ni dans le Code du Travail. L’explication est ici.

En chiffres romains, 300 s’écrit « CCC ».
CCC est un des 64 codons possibles du code génétique: c’est l’un de ceux représentant la proline.

CCC, ce sont également les initiales du célèbre Chaos Computer Club… et bien sûr du Comité Contre les Chats de Les Nuls.

300, c’est aussi le nombre record de visites sur ce blog (313 exactement), le 22 novembre 2007, en grande partie suite à ce commentaire de Me Eolas sur embruns.net

Ce trois centième billet est surtout l’occasion pour moi de vous remercier tous, par votre présence, d’avoir souhaité que ce blog continue.

En route donc jusqu’au 400e billet, si je survis à la semaine de ski qui s’annonce.
Si vous voyez passer un dinosaure en monoski, casque et doudoune de bucheron des années 80, c’est sans doute moi 🙂

Meilleurs voeux

Publié le par

Je ne sais pas vous, mais moi, j’ai encore raté l’envoi de tous mes courriers de bonne année et meilleurs voeux.

Bon, sur ce blog, j’ai quand même respecté la tradition a minima.
Il faut dire que je n’aime pas beaucoup ce côté obligatoire… Et puis pourquoi réserver au seul mois de janvier la possibilité d’adresser des souhaits?

Alors, en ce 1er février, parce que j’aime la fête, et que j’aime partager ma joie quand cela me chante, je vous souhaite à tous santé, bonheur et prospérité pour les 12 prochains mois (et plus).
Et un bon mois de février 2008!

artifices 15Source image: fr.bestgraph.com

De Michel Eyquem de Zythom – Faille spatio-temporelle

Publié le par

Cher Internaute,

C’est ici un blog de bonne foi, lecteur. Il t’avertit dés l’entrée, que je ne m’y suis proposé nulle fin que domestique et privée: je n’y ai eu nulle considération de ton service, ni de ma gloire: mes forces ne sont pas capables d’un tel dessein. Je l’ai voué à la commodité particulière de mes parents et amis: à ce que m’ayant perdu (ce qu’ils ont à faire bientôt) ils y puissent retrouver tous les traits de mes conditions et humeurs, et que par ce moyen ils nourrissent plus entière et plus vive, la connaissance qu’ils ont eue de moi. Si c’eût été pour rechercher la faveur du monde, je me fusse paré de beautés empruntées, ou me fusse tendu et bandé en ma meilleure démarche. Je veux qu’on m’y voit en ma façon simple, naturelle et ordinaire, sans étude et artifice: car c’est moi que je peins. Mes défauts s’y liront au vif, mes imperfections et ma forme naïve autant que la révérence publique me l’a permis. Que si j’eusse été parmi ces nations qu’on dit vivre encore sous la douce liberté des premières lois de nature, je t’assure que je m’y fusse très volontiers peint tout entier et tout nu. Ainsi, cher Internaute, je suis moi-même la matière de mon blog: ce n’est pas raison que tu emploies ton loisir en un sujet si frivole et si vain. Adieu donc.

De Zythom, ce 1er de mars 1580.

Au secours, je suis bloqué là-bas, et il va me falloir attendre encore 62 ans pour pouvoir vraiment m’amuser

M0275 01 0011

Texte original trouvé sur Les Bibliothèques Virtuelles Humanistes

Analyses inforensiques

Publié le par

La sérendipité est la caractéristique d’une démarche qui consiste à trouver quelque chose d’intéressant de façon imprévue, en cherchant autre chose, voire rien de particulier. Cette approche est issue d’une démarche heuristique.

Avec le développement des T.I.C (Technologies de l’information et de la communication), la sérendipité a pris une dimension toute particulière dans la recherche documentaire actuelle sur ordinateur et particulièrement sur Internet. JF Smith en se basant sur les travaux de K. Merton invente le terme de « sérendipité systématique » lorsqu’un chercheur utilise la découverte de la connaissance à partir de l’outil informatique. Les chercheurs d’information n’hésitent pas à naviguer, voire à se perdre au sein des liens hypertextes pour trouver au hasard d’une page, au détour d’un lien, au cœur d’un nœud, une information leur étant utile… alors même qu’ils ne savaient pas qu’ils la cherchaient vraiment. Ainsi la notion de sérendipité prend ici tout son sens comme «Découverte, par chance ou par sagacité d’informations qu’on ne cherchait pas exactement».

Source Wikipedia

Cette longue introduction honteusement pompée dans Wikipedia me sert:

1) A montrer que je connais des supers mots-pas-faciles-à-placer-dans-une-conversation

2) A introduire quelques pages d’un nouveau blog (nouveau pour moi) qui m’a bien intéressé: devloop.lyua.org/blog (pas facile à retenir), et surtout ces deux séries de billets

Analyse forensique d’un systeme windows et Solution du hoffmann forensic challenge, et de façon générale, la rubrique Sécurité.

Je ne connais pas la personne qui tient ce blog, mais comme il semble qu’il cherche du travail, si vous avez un job qui peut l’intéresser… En tout cas, les billets qu’il publie sont très intéressants. Cela m’a valu encore de nombreuses heures de lectures et de tests…

Tant que j’y suis, il me semble que le métier d’expert judiciaire tel que je l’exerce corresponde assez bien à la définition de zemblanité:

Le principe de zemblanité a été inventé par William Boyd (écrivain) dans son roman Armadillo (1999). Il s’agit de la faculté de faire exprès des découvertes attendues mais malheureuses et malchanceuses. La zemblanité tire son nom de la Nouvelle Zemble, qui se trouve exactement aux antipodes de l’île de Serendip, d’où est issu le concept de sérendipité. La zemblanité est définie comme le contraire de la sérendipité.

Source wikipedia.

Encore un mot pas facile à placer dans la conversation 🙂

Antépénultième

Publié le par

Ce billet fait suite à celui-ci. Résumé des épisodes précédents:

Notre héros (c’est moi), à force d’assister aux réunions du conseil municipal, s’est vu proposer une place sur la liste du maire sortant pour les élections municipale à venir. Il a dit « oui ».

J’avais rendez-vous la semaine dernière pour rencontrer toutes les autres personnes de la liste. Elles se connaissent pour la plupart et beaucoup ont déjà plusieurs mandats au compteur.

J’étais donc intimidé.

Assis dans un coin de la salle, j’observais et j’apprenais. Monsieur le Maire a proposé de faire un tour de table pour que chacun se présente. Lorsque mon tour est arrivé, j’ai fait le service minimum, tant je sais par habitude que l’étalage des diplômes et des responsabilités montre plus l’orgueil et la suffisance de leur propriétaire: « Gudule Zythom, responsable informatique dans l’école d’ingénieurs du coin, et l’un des trois petits nouveaux de la liste ». Cela a eu le mérite de faire sourire la plupart des personnes présentes. Quand on ne connaît rien à la gestion d’une municipalité, on ne ramène pas sa fraise.

J’ai appris à cette réunion que j’étais en avant-avant-dernière position sur la liste. Antépénultième donc, mais premier des trois nouveaux!

J’étais assis à côté d’une personne qui s’est présentée comme étant agriculteur, chargé de la commission environnement et espaces verts. J’avais pu constater tout au long des différents conseils municipaux ses qualités organisationnelles et sa volonté de faire avancer les dossiers dont il avait la charge. Tant d’énergie, tant d’efforts et tant de pugnacité au service de la collectivité. Cela m’a confirmé dans mon souhait de ne pas augmenter mes tarifs d’expert judiciaire.

Alors, tout petit sur ma chaise, je me suis demandé ce que j’allais pouvoir apporter à ce groupe de personnes, et avec eux, à la collectivité. Il va falloir que je sorte le nez de « mes » ordinateurs et que j’arrête de regarder le bout de mes pieds lorsque je marche dans la rue.

Tant à apprendre, et tant à faire.

Antépénultième, je ne mérite même pas cette place.

Brisez les chaines

Publié le par

J’ai reçu dans ma boite d’emails une nième chaîne de messages.
En général, la durée de vie d’une chaîne dans ma messagerie est égale au temps nécessaire à l’influx nerveux pour passer directement du fond de la rétine jusqu’à l’index de ma main droite qui détruit l’intrus d’un clic vengeur…

Et pourtant, cette fois, ce message a eu droit à un traitement de faveur avec passage par le cortex cérébral car le message contenait une suite de questions à deux euros!
Et presque toutes m’ont fait sourire, mis à part bien sur la phrase finale assassine « faites suivre ce message à tout votre carnet d’adresses »…

Extraits:
« Pourquoi les kamikazes portaient-ils des casques? »[1]
« Pourquoi désinfecte-t-on le bras d’un condamné à mort avant d’y placer la seringue? »
« Pourquoi pour arrêter son ordinateur faut-il cliquer sur ‘démarrer’? »

J’ai presque failli l’envoyer à tous mes amis!
Mais j’ai résisté, car, après tout, ces questions peuvent-être utiles pour ma rubrique (à deux euros elle aussi)…

Mais le plus drôle, c’est quand on essaie de répondre sérieusement à ces questions…

Je ne m’y risquerai pas.

PS: Merci de faire suivre le lien de ce billet à tout votre carnet d’adresses…

———————-
[1] Lire commentaire de Sid… Même pas drôle 🙂

La journée type

Publié le par

06h21, c’est l’heure à laquelle mon réveil est programmé pour sonner tous les jours de l’année. Pourquoi 21? Et bien j’ai horreur de l’idée que seule 12 des soixante minutes utilisables soient réellement exploitées. Alors je règle toujours mon réveil pour sonner sur l’une des 48 minutes sous employées. C’est mon point commun avec les SNCF et ses horaires de train…

En ce moment, c’est 21.
Tous les jours ouvrables de l’année.
Même quand je dois monter à Paris, sauf que c’est 4h21.
A ce moment là, l’alarme explose dans le silence de la nuit profonde.

Sauf en vacances.
Là, c’est moi qui explose le réveil.

Ma journée débute donc à 06h21.
Ensuite, c’est douche, café, préparation du sac, conduite au collège, et enfin arrivée au travail à 07h57.

07h57-12h48 la folie du métier d’un responsable informatique et technique
12h49-13h04 le quart d’heure repas-saladette-bureau-porte-fermée en bloguant (mode lecture)
13h05-18h12 la folie du métier d’un responsable informatique et technique (bis)

18h34-20h47 les enfants grandissent trop vite, il faut en profiter
20h48-22h42 au choix: expertises, bloguitude (mode écriture), lectures, TV (et oui) ou conseil municipal…

Et 22h43, c’est bien sûr l’heure de l’ascenseur

La vue, c’est la vie

Publié le par

J’ai déjà rapidement présenté comment je procède pour prendre une image du disque dur d’un scellé (lire ce billet).

En résumé:

– soit extraction du disque dur de l’unité centrale et mise en place dans un PC muni d’une carte giga et d’un bloqueur d’écriture, soit boot sur liveCD à partir du PC sous scellé après vérification des options du BIOS (débrancher le disque pour faire les essais de boot)

– côté PC de travail (sous Windows XP SP2, exécution sous cygwin, sinon exécution directe sous Linux) de « nc -l -p 2000 > image.dsk »

– côté disque dur scellé, sous HELIX ou sous DEFT, lancement dans un shell de la commande « dd if=/dev/sda | nc IP_PC_de_travail 2000 »

J’obtiens ainsi une image numérique du disque dur à analyser.

La commande « dd » peut être avantageusement remplacée par « dcfldd« , dc3dd ou en cas d’erreurs I/O sur le disque par « ddrescue« [1].

L’adresse IP_PC_de_travail utilisée dans la commande « nc » (netcat) peut aussi avantageusement être remplacée par celle d’un serveur samba, ce qui permet ensuite d’accéder au fichier image.dsk indifféremment depuis une machine Linux ou Windows (dans mon cas un « vieux » PC avec cinq disques SATA de 400 Go:).

Mais maintenant, que faire de ce gros fichier image.dsk?

Personnellement, j’utilise deux outils:

sleut kit et autopsy pour l’analyse inforensique proprement dite.

liveview pour démarrer l’image sous vmware (s’il s’agit d’un scellé sous Windows)

C’est ce dernier logiciel qui gagne l’honneur de fournir le titre du présent billet (avec une traduction très approximative).

Je dois dire que depuis l’utilisation de liveview et vmware, ma vision des scellés a considérablement changée. En effet, je « sens » beaucoup mieux l’organisation du stockage sur un Pc lorsqu’il est possible de naviguer à loisir sur celui-ci: organisation des icones sur le bureau, logiciels spécifiques que l’on peut exécuter, etc. L’image d’origine est protégée en lecture seule, un disque virtuel vient la compléter pour stocker tous les changements effectués (en général, il faut réactiver Windows XP pour pouvoir travailler dans la durée). Il suffit d’ajouter un disque dur partagé pour pouvoir récupérer toutes les données non effacées intéressantes.

L’utilisation des Sleut kit et Autopsy dépasse le cadre technique de ce blog, mais je recommande à tous les curieux de s’y exercer… C’est très instructif!

——————–

[1] Dans le cas de problèmes I/O sur un disque dur, il me semble important d’effectuer la prise d’image rapidement et, pour ma part, de ne pas calculer le hash MD5 qui dans ce cas me semble soumis à des aléas.

Mercure sous copyright

Publié le par

La sonde Messenger, lancée le 3 août 2004, vient de survoler Mercure, la planète la plus proche du soleil. Cela faisait 33 ans qu’aucun objet artificiel (du moins en provenance de la terre) n’avait rendu visite à la plus petite planète tellurique de notre système solaire. Et contrairement à ce que je croyais, il ne s’agit pas de la planète tellurique la plus chaude (min -183°C, moy. 179°C, max 427°C) puisque c’est Vénus qui détient ce record (min -45°C, moy. 464°C, max 490°C) avec une température moyenne supérieure à la température maximale de Mercure (source wikipedia). Pour mémoire, la Terre est à min -89°C, moy. 15°C, max 60°C, du moins en attendant de rejoindre les températures vénusiennes dans quelques années, et Mars plafonne à min -183°C, moy. -63°C, max 20°C.

Messenger a pris de nombreuses photos, toutes plus extraordinaires les unes que les autres. Je vous présente ici celle qui m’a le plus surpris:

mercure

Crédit: Nasa/Johns Hopkins University Applied Physics Laboratory/Carnegie Institution of Washington