La solitude de l’expert judiciaire

Publié le 23 janvier 2026 par Zythom

L’expert judiciaire exerce ces missions la plupart du temps seul. J’ai déjà raconté ici beaucoup d’anecdotes où je me suis senti bien seul face à mes écrans, en particulier lors d’analyses d’images et de films pédopornographiques, ou de visualisations de collections de vidéos ultra violentes… Mais la solitude peut se ressentir aussi autrement.

Il m’est arrivé, il y a quelques années, d’avoir à remplir une mission inhabituelle (pour moi) : un tribunal de commerce m’avait demandé de récupérer des données clients sur un serveur dans une entreprise qui venait de faire faillite et de faire l’inventaire du parc informatique afin de faciliter le travail du commissaire priseur.

J’ai d’ailleurs appris à mes dépens qu’il y a un certain nombre de points à vérifier avant de se déplacer pour une telle expertise. J’ai parlé de tout cela récemment cela dans le billet intitulé « Le siècle des lumières« . Voici la suite des évènements.

Quand un expert se déplace pour effectuer une mission, il est rarement mis au courant des détails très techniques qu’il va rencontrer. Dans cette affaire, et malgré mes nombreuses questions auprès de mes différents interlocuteurs, il m’était impossible d’avoir la moindre information technique intéressante : combien de PC, quel système d’exploitation (Windows, VMS, GCOS, Debian, AIX, Irix, Mac OS, NetBSD…), type des disques, leur capacité… Bon, par contre, tout le monde pouvait me donner le mot de passe du serveur (et c’était déjà ça).

Pour préparer mes affaires avant de partir, je procède donc exactement comme pour une expédition lointaine dans un pays dont on ne connaît ni la géographie ni le climat. Je mets dans une valise tous les éléments techniques qui pourraient m’être utile: disques de grosse capacité, nappes de fils, alimentations, tournevis, lampe électrique, unité centrale, écran, PC portable, papier, crayons, câbles et cartes réseaux, switchs, PQ…

Me voici donc, de bon matin, à deux cents km de chez moi, seul dans cette entreprise fermée depuis plus d’un an. Elle est située dans un grand appartement de six pièces. Il flotte dans l’air comme une odeur de renfermé. J’ouvre les volets.

Je repère très vite le serveur (installé dans la cuisine aménagée pour l’occasion en salle serveur). L’électricité ayant été remise la veille, j’appuie sur le bouton de démarrage après avoir vérifié l’état général des connexions électriques. Le serveur s’allume dans un bruit d’enfer qui semble normal.

Je regarde sur les murs de la cuisine d’anciens messages de « team building », des consignes divers, des dates à ne pas oublier, des numéros de téléphone de contacts d’urgence. Et dans un coin, une citation latine que devraient connaître tous les sysadmins : « Tempora si fuerint nubila, solus eris » (Lorsque viendra l’orage, tu seras seul).

Assis devant l’écran, je fais mes premières constations: bios, nombre et type de disques, OS, messages d’alerte… jusqu’à la fenêtre de demande d’identification. J’entre le mot de passe indiqué dans les documents qui m’ont été fournis: sésame ouvre toi, ça marche ! Je récupère les données sur mon disque externe reconnu par l’OS. C’est un coup de chance car aucune de mes nappes ne correspondent au système du serveur. Cela fait une heure que je suis là et la première partie des missions est déjà accomplie. Je suis content.

Là où cela s’est un peu corsé, c’est quand j’ai voulu remettre en état le réseau en place. En effet, de nombreuses données sont présentes sur les disques durs des différents PC et tous ne disposent pas de port USB, alors qu’ils sont tous connectés en réseau. Rien ne fonctionne, aucune machine ne voit le serveur. Petite inspection à quatre pattes en salle serveur. Je constate alors que le réseau a été « saboté ». Des câbles ont été retirés, certains branchés de manière à faire des boucles plus ou moins évidentes. A vue de nez, il manque une dizaine de câbles… Début des ennuis.

Je referme bien l’appartement à clef, puis commence à chercher un magasin d’informatique ou d’électronique. Nous sommes samedi midi, la ville est déserte. Je demande aux commerçants ouverts, mais ils sont incapables de me renseigner. Je découvre un magasin de bricolage à 10 km et je prends ma voiture pour le dévaliser… Victoire et retour dans l’entreprise.

Réseau fonctionnel, je commence à récupérer les données de chaque poste de travail (il y en a dix!). L’après midi bien entamé y passera. Le soir arrive, la pénombre aussi. Les yeux fatigués, je me lève pour allumer la lumière : rien. Tous les plafonniers ont été vidés de leurs néons et ampoules. J’allume tous les écrans et reprend le travail dans la lumière blafarde. Je sors ma lampe de poche et m’en sers pour me déplacer entre les meubles. Certains écrans grésillent. Je me sens seul.

Je préviens mon épouse de ne pas s’inquiéter. Les ombres et les fantômes de l’entreprise suffisent déjà à me mettre mal à l’aise. Quelques craquements se produisent dans les pièces voisines. Le changement de température sans doute. Au fait, il n’y a pas de chauffage… Je mets mon manteau et bouge un peu les bras pour me réchauffer. Je note sur ma « check list » de penser à prendre des vêtements chauds la prochaine fois.

23h. Fini. Je ramasse tous mes équipements, toutes mes affaires et toutes mes notes. Je remets tout en état. J’éteins et ferme tout. Me voici dans le couloir avec ma lampe de poche et mon sac de sport rempli de matériel sur l’épaule. Je me rends compte soudain que je n’ai pas pensé à prévenir les voisins ni la police de ma présence. J’ai vraiment l’air d’un cambrioleur. Par chance, personne ne viendra m’inquiéter.

Sur le chemin du retour, il n’y a personne sur la route.

Je suis encore seul.

J’aime l’IA mais

Publié le 3 janvier 2026 par Zythom

J’ai découvert internet réellement en 1988 lorsque j’ai démarré mon doctorat dans un laboratoire de recherche à Paris. A cette époque, point de HTML ni de web, mais des commandes UNIX sur des stations de travail, permettant d’envoyer un email, de télécharger un fichier ou d’exécuter une session sur un ordinateur distant. C’était génial.

A l’époque, j’expliquais autour de moi ce qu’était internet (pour un chercheur) et je disais à tout le monde : « j’aime internet ». Puis le temps est passé, ce que j’appelai internet a évolué, s’est démocratisé, s’est transformé en ce que l’on connaît aujourd’hui. Plus personne ne dit « j’aime internet », ni d’ailleurs « j’aime l’informatique ». Internet relie presque tous les humains, pour le meilleur et pour le pire, et malheureusement, j’ai l’impression, souvent pour le pire.

Dans le laboratoire de recherche où j’ai découvert l’existence d’internet, j’étais inscrit en thèse post diplôme d’ingénieur en informatique : je préparais un doctorat en électronique consacré à l’apprentissage des réseaux de neurones bouclés. La première vague d’intelligence artificielle, démarrée à la fin des années 50 avec l’invention du Perceptron, avait connu un coup d’arrêt à la fin des années 60 par un article de Minsky et Paperts qui montrait l’impasse de ce type d’outil dans le cadre de problèmes non linéaires. La deuxième vague de l’IA est survenue en 1985 après la parution d’un célèbre article écrit par Rumelhart, Hinton et Williams intitulé « Learning representations by back-propagating errors », dans lequel ils décrivaient l’algorithme de rétropropagation du gradient appliqué aux réseaux de neurones multicouches.

Ma thèse a consisté à généraliser cet algorithme à des réseaux de neurones bouclés complètement connectés, avec une application à la modélisation temporelle, et en particulier à la commande de processus non linéaires.

A cette époque, j’expliquais mon travail avec passion, et je disais autour de moi que j’aimais l’IA.

Une fois docteur ingénieur, je suis devenu Maître de conférence et avec mes collègues chercheurs, nous mettions au point des outils permettant la reconnaissance automatique des caractères manuscrits, la reconnaissance automatique des objets, la détection des cancers du sein sur des mammographies.

Nos travaux étaient très axés sur la modélisation : pour reconnaître une tumeur, il faut en avoir vu une centaine (sous plusieurs angles), savoir la différencier d’une tâche ou d’un grain de beauté, connaître ses dimensions approximatives (il n’y a pas de tumeur de 100m de long), et en faire un modèle cognitif dans un réseau de neurones. Ce réseau reconnaîtra alors quasi instantanément presque toutes les tumeurs, quelque soit leur forme et l’angle de vue.

Mon travail consistait à introduire le facteur temps (l’évolution d’une tumeur) dans le réseau de neurones en le rebouclant sur lui-même, et à élaguer le nombre de neurones et de liaisons pour obtenir les réseaux de neurones les plus efficaces possibles.

Je disais à tout le monde autour de moi que j’aimais l’IA.

Aujourd’hui, l’IA a beaucoup évolué, avec des outils probabilistes extraordinaires autour de la génération de mots et d’images. Cela ouvre des perspectives énormes dans le rapprochement des peuples avec par exemple la traduction instantanée.

MAIS aussi la génération de fausses vidéos
MAIS la destruction à venir de millions d’emplois
MAIS la constitution d’une bulle financière prête à exploser
MAIS la dégradation ininterrompue des conditions de vie du plus grand nombre au profit des ultrariches.

J’aime l’IA mais pas celle-là.

J’ai construit ma passion sur un rêve, et le réveil est douloureux.

vih — Extrait de https://salemoment.tumblr.com/
avec l’aimable autorisation de l’auteur Olivier Ka

Audience de mise en état

Publié le 21 décembre 2025 par Zythom

Répondre

Il m’arrive de devoir me rendre dans un tribunal de mon ressort provincial pour remettre un rapport en main propre, ou pour aller chercher des scellés. Pour le commun des mortels dont je fais partie, un tribunal est un lieu très solennel où se jouent des vies. On ne rie pas dans un tribunal. On enlève sa casquette dans un tribunal par respect républicain, on craint de contrevenir à une règle inconnue, on rase les murs dans un tribunal…

J’avais une heure devant moi, et par une porte entrouverte, gardée par un policier, j’aperçois une certaine animation : des avocats, des magistrats et du public… Je me glisse au fond de la salle et écarquille les yeux tout en ouvrant bien grand(es) les oreilles.

Tant d’avocats et tant de monde dans la salle, quelle affaire pouvait donc bien se jouer ici dont je n’avais pas entendu parler, enfermé que j’étais dans mon bureau pendant les longues semaines de mon expertise ?

Non, une simple « mise en état ».

Si j’ai bien compris le concept, il s’agit pour les magistrats de faire convoquer à la même heure toutes les parties de toutes les affaires du jour et de voir si les affaires sont « en état » d’être traitées correctement le jour même. Le magistrat présent s’informe par exemple de la régularité de la procédure suivie dans chaque dossier, il règle les incidents liés à l’échange des conclusions et à la communication des pièces, etc. Accessoirement, il règle aussi l’ordre de passage des affaires. Priorité semble-t-il à l’avocat dont l’inscription au Barreau est la plus ancienne, mais aussi aux avocats venant de loin, ou aux affaires complexes nécessitant la présence de nombreuses personnes… Autant dire que si votre affaire est simple, que votre avocat est inscrit depuis peu au barreau local, ainsi que l’avocat de votre adversaire, vous n’êtes pas sorti du palais…

Si je parle de cela aujourd’hui, c’est qu’il me reste de ce souvenir un sentiment de malaise : j’étais assis dans un endroit de la salle où se trouvait un public essentiellement constitué des personnes concernées par les affaires du jour. Ces personnes avaient la mine sombre et visiblement rêvaient d’être ailleurs.

En face de nous, un joyeux ballet se déroulait sous nos yeux : les avocats se tutoyaient, des plaisanteries fusaient entre eux, avec le magistrat et le greffe. Bref, nous assistions à une réunion de travail « entre collègues » plutôt rigolote et détendue.

Sauf que je sentais que les personnes présentes n’étaient pas du tout dans cet état d’esprit. Leur affaire représentait à leur yeux un moment très important de leur vie. Leur temps est précieux (ils ont pris un jour de congé au travail), leurs attentes immenses, leurs angoisses extrêmes. Comment mon avocat peut-il plaisanter avec l’avocat de mon adversaire qui m’a tant fait souffrir ? Pourquoi ce climat de plaisanterie dans ce lieu ? Autant d’interrogations que je lisais sur les visages.

Maintenant je sais que deux avocats peuvent être amis et pourtant plaider l’un contre l’autre en défendant au mieux les intérêts de leurs clients respectifs. Leurs intelligences s’affrontent à travers le développement de leurs arguments, et de leur persuasion. Ils n’en restent pas moins amis « en dehors du travail ».

Mais sur leur lieu de travail, sachant que leurs clients les imaginent sur un ring, eux qui sont sur le grill, j’ai le sentiment qu’ils n’auraient pas du faire preuve de cette familiarité.

D’où le malaise autour de moi.

J’ai retenu la leçon pour mes expertises. Lorsque je connais bien un avocat apparaissant dans l’un de mes dossiers, lors de la réunion avec les parties je fais comme si je ne l’avais jamais vu, et ne lui réserve aucun accueil particulier, qui pourrait passer pour un traitement de faveur. Et je ne mange pas avec les avocats des parties. Et si je connais bien l’une des parties (le monde est petit), par exemple comme client ou fournisseur de l’entreprise où j’ai un vrai métier, je refuse le dossier à cause d’un conflit d’intérêt.

En expertise, je ne rigole pas souvent en fait.

ChatGPT Image 21 dec. 2025 17 13 26 — Image générée par ChatGPT 4.1 avec comme prompt le texte de ce billet

La salle derrière au fond

Publié le 17 décembre 2025 par Zythom

Répondre

Lors d’une expertise, la première de mes missions était de venir prendre au tribunal deux ordinateurs mis sous scellés. En général, il me sont amené par des policiers ou des gendarmes, mais parfois le magistrat me demande de venir les chercher.

Une fois sur place, la greffière me dit : « Ah oui, mais le responsable des scellés est en vacances. Il va falloir que vous m’accompagniez pour aller les chercher. Et comme je ne sais pas trop ni où, ni comment ils sont rangés, cela peut nous demander un petit moment… »

J’avais fait 40 km pour arriver au tribunal, je n’allais pas faire la fine bouche et repartir les mains vides. Et puis, quand c’est demandé avec le sourire…

Nous voici donc partis à travers le dédale du tribunal, passant de couloir en couloir, montant d’un étage pour en redescendre deux, pour finir enfin par sortir par l’arrière et nous retrouver face à une gigantesque porte en bois d’un autre âge.

La greffière sort de son sac une clef comme on n’en voit que dans les films (vous savez, LA clef de la ville), la place dans la serrure et la tourne à deux mains. Nous entrons dans une salle sombre. Une fois les yeux habitués à la faible lumière issue de la seule lampe accrochée au plafond, je regarde autour de moi : je venais d’entrer dans le saint des saints, Le Lieu Interdit Au Public. Je venais aussi de faire un bon d’un ou deux siècles en arrière !

Des dizaines de fusils emballés dans des plastiques transparents tous évidemment munis de l’étiquette marron habituelle que l’on trouve sur tous les scellés (l’État doit avoir fabriqué au 19e siècle une quantité incroyable de ces étiquettes pour qu’elles aient toutes cet air suranné…)

Des couteaux, dont certains semblaient encore couverts de tâches sombres… Des épées, des cannes, des lampes, des manteaux, des postes de radio, des paquets, beaucoup de paquets ficelés (vous savez, cette ficelle grossière qui ressemble à de la paille)… Partout, du sol au plafond, serrés sur des étagères en bois d’une autre époque. J’avais l’impression d’être dans un Simenon. Je m’attendais à voir surgir le commissaire Maigret derrière une étagère.

J’étais en train de vérifier si je ne détectais pas l’odeur de la pipe du commissaire quand la greffière me sortit de ma fascination : « Bon, Monsieur l’expert, il faut trouver dans ce bazar, deux ordinateurs sous scellés numéro XZ65… Je commence par la gauche et vous par la droite. »

Mon rêve de gamin devenait réalité : fouiller la caverne d’Ali Baba !!!

Pendant une demi heure nous avons exploré (sans déranger) ce chaos ordonné, ce bazar étiqueté. J’ai touché du doigt des affaires criminelles terribles (terribles dans ma tête bien sur), des objets chargés d’histoires horribles. Des ombres terrifiantes régnaient sur ce lieu et visiblement je n’étais pas le bienvenu. Je sens encore l’odeur de poussière et de vieux papiers, comme dans un vieux grenier.

C’est la greffière qui a trouvé les ordinateurs.

Ils faisaient un peu tâches dans ce lieu d’un autre âge.

Depuis, je suis retourné souvent dans cette salle, mais jamais plus je n’ai retrouvé les sensations de cette première fois.

salleau fond — Image générée avec Gemini 2.5 flash (prompt en ALT text)

Un réseau bien hospitalier

Publié le 9 décembre 2025 par Zythom

Dans une affaire de pédophilie (encore une !), le magistrat instructeur me demandait, entre autres choses, de « fournir la liste de toutes les adresses emails présentes sur le disque dur objet du scellé n°N. »

Une fois en possession du scellé, et muni de mes outils opensource d’investigations, j’obtiens au bout de quelques heures de recherches, une longue liste d’emails que je commence à parcourir, et très vite, je remarque qu’un nom de domaine revient très souvent.

Et là, mon sang se glace : le nom de domaine correspond à celui d’un hôpital ! Des médecins impliqués dans un réseau pédophile !!!

On dit souvent aux experts de remplir leur mission, toute leur mission, rien que leur mission. Strictement parlant, j’avais terminé cette mission, car je pouvais fournir une liste de tous les emails trouvés sur ce scellé.

Mais je ne pouvais pas m’arrêter là, et j’ai commencé à écrire sur une feuille qui écrit à qui. Comme la liste des emails était assez longue, ma feuille a commencé à ne plus ressembler à rien. J’ai eu alors l’idée d’utiliser un tableur. J’ai construit ce que l’on appelle en mathématique une matrice d’adjacence, ce qui permet de représenter un graphe orienté (qui écrit à qui). Ça m’a pris tout un week-end.

J’ai ensuite appliqué un peu de théorie des graphes (merci internet) : l’algorithme Weakly Connected Components (WCC) qui permet de trouver les sous graphes distincts dans un graphe.

Et là, j’ai découvert DEUX ensembles disjoints de correspondances ! En poussant un peu plus loin l’analyse jusqu’au contenu des emails, il y avait d’un côté, un ensemble de personnes qui s’écrivent, avec certains courriers à thème pédophile, de l’autre un ensemble d’emails qui relatent plutôt des faits médicaux.

J’ai donc poussée encore un peu plus loin en regardant les dates des fichiers présents et effacés du disque dur. Après analyse (et aidé par la gendarmerie), il s’est avéré que l’ordinateur avait commencé sa carrière au sein d’un hôpital, avant d’être vendu d’occasion pour finir dans les mains d’un pédophile. Les données effacées AVANT la vente étaient toujours présentes sur le disque dur mal effacé.

J’avais failli inscrire dans mon rapport des personnes complètement étrangères à cette affaire !

« La mission, rien que la mission, toute la mission. » Me répétait mon vieux guide d’expertise… Oui mais ! Je n’étais pas très chaud pour impliquer des personnes dont le seul tort était d’avoir leur email encore présent sur un disque dur mal effacé…

J’ai alors contacté le magistrat instructeur pour avis. Celui-ci m’a laissé le choix entre « La mission, rien que la mission, toute la mission » ou « mouillez vous un peu et faites un pré-tri ».

J’ai donc un peu mouillé ma chemise et je n’ai fait mention que des emails du réseau pédophile.

Mais quand j’y repense aujourd’hui, j’ai toujours un peu froid dans le dos.
Des restes de transpiration sans doute.

Image générée par Gemini banana et représentant un tableau blanc avec deux graphes disjoints contenant de nombreux noeuds

Photos d’écran

Publié le 1 décembre 2025 par Zythom

Lorsqu’un magistrat me donne comme mission d’analyser le contenu d’un ordinateur mis sous scellé pour y détecter la présence éventuelle de films et photos pédopornographiques, je sais que la tâche va être difficile. D’une part, parce qu’il va falloir extraire toutes les images et vidéos du disque dur, y compris celles qui sont effacées et celles partiellement récupérables, mais aussi parce qu’il va falloir regarder des centaines de milliers d’images et de films pour en déterminer le caractères pédopornographiques.

Avant d’extraire les données d’une copie du disque dur, je prends toujours quelques minutes pour me promener sur le disque dur en ayant démarré l’image en lecture seule sur une machine virtuelle. Cela me permet de mieux comprendre l’organisation des rangements des données sur le disque, et de commencer à me faire une idée de la difficulté de la mission : y a-t-il des logiciels de stéganographies, des outils de chiffrement, l’ordinateur est-il « bizarrement » vide, etc.

Dans cette affaire, je suis tombé sur un répertoire intitulé « print screens » contenant environ 5000 photos. Je regarde quelques unes de ces photos, ainsi que les dates de création des images: il s’agit de photos d’écran.

Sur l’ordinateur était installé un logiciel de copie d’écran automatique : une photo de l’écran était prise toutes les 10 minutes et copiée dans ce répertoire ! Je n’ai pas su dire si le logiciel avait été volontairement installé par le propriétaire du logiciel, ou par un tiers, mais le fait est que toutes les sessions du compte unique configuré sur l’ordinateur était photographiées toutes les 10mn depuis un certain temps.

J’ai ainsi pu, sans me fatiguer et de façon assez détaillée, avoir une idée de l’utilisation de cet ordinateur : les contenus des cédéroms qui ont été gravés, les impressions, les mails échangés, etc. Un slowmotion basé sur une prise toutes les 10mn…

Et effectivement, cela m’a appris beaucoup de choses sur l’utilisateur principal de l’ordinateur, confirmées par les extractions de données effectuées ensuite.

« Sale affaire, du sexe et du crime », jouait Yolande Moreau dans les années 80.
Rien n’a changé.

Image générée par Gemini avec le prompt suivant : "dessine une touche clavier avec écris "slowmotion" dessus"

Faire parler l’imprimante

Publié le 24 novembre 2025 par Zythom

Je ne suis pas très friand de mondanités et j’arrive à échapper à presque toutes les rencontres informelles entre experts de justice et magistrats. Je n’aime pas l’idée de me mettre en valeur pour me vendre, et les conversations sont souvent monopolisées par quelques égos inopportuns.

Pour autant, il m’est arrivé de me retrouver invité à une audience solennelle où un confrère a eu l’idée curieuse de me présenter au nouveau magistrat instructeur. Pensant échanger quelques banalités pendant cinq minutes, je fus surpris lorsqu’il me demanda « Bon, qu’est-ce que vous savez faire? ».

Moi: « Heu, ben, heu, je sais extraire des informations d’un disque dur… »

Lui: « Oui, certes, mais qu’est-ce que vous savez faire d’extraordinaire? »

Moi: « Ben, en fait, rien d’extraordinaire. Je connais bien les procédures, je connais bien l’informatique, mais je ne vois rien de particulièrement extraordinaire à raconter. »

Lui: « Ah bon? Là d’où je viens, je travaillais avec un expert capable de faire parler les imprimantes »

Moi: « Ah, ça !
Oui, cela va dépendre du modèle et du contexte mais il ne devrait pas y avoir de problème. »

Et me voilà parti dans un exposé général sur la technologie des imprimantes, où j’explique que j’ai déjà eu à démonter une vieille imprimante pour y chercher un composant de stockage. J’ai parlé des photocopieurs/imprimantes en expliquant comment récupérer les dernières impressions stockées sur le disque dur interne du photocopieur.

Parfois les données sont chiffrées par le constructeur, il faut alors le contacter pour pouvoir récupérer les informations.

Pour les imprimantes des particuliers, le plus simple reste d’analyser le contenu du disque dur des ordinateurs qui conservent trace des fichiers générés lors des impressions. Il « suffit » de disposer des logiciels analysant les différents langages d’impression utilisés par les constructeurs d’imprimante.

Le magistrat m’écoute attentivement, puis me dit d’un regard amusé :
« un grand pouvoir donne une grande responsabilité… »

Je n’ai jamais su s’il faisait référence à Winston Churchil ou à Spider-Man. Ni s’il évoquait l’intrusion dans le monde du secret, du confidentiel, de la vie privée. Ou s’il se moquait gentiment de moi.

Mais depuis, quand je passe près d’une imprimante, je pense « toi, si tu pouvais parler, qu’est-ce que tu pourrais raconter? »

Et parfois, cela me fait peur.

Machine C3A0 polycopier C3A0 alcool 28429 scaled — Duplicateur à alcool de mon enfance – crédit Prosopee, CC BY-SA 3.0, via Wikimedia Commons

Cybersécurité assistée par IA

Publié le 20 novembre 2025 par Zythom

Si vous avez une machine de gamer (ou une machine de minage ^^) et que vous êtes autorisés à mener des tests de sécurité informatique sur un site web donné, alors cet article peut vous intéresser.

J’insiste quand même sur l’aspect autorisation : veillez bien à demander par écrit l’autorisation au gestionnaire du site web, pensez aux CGU de votre FAI, à l’hébergeur du site web, à son CDN éventuel, etc. Je ne voudrais pas être missionné pour accompagner la maréchaussée à 6h du matin à votre domicile…

Ce billet est destiné aux étudiants passionnés de cybersécurité. Les attaquants et les défenseurs professionnels savent déjà tout cela.

Première étape : installer ollama

Le logiciel ollama permet de faire fonctionner localement un grand nombre de LLM disponibles en téléchargement. Cela garantit confidentialité, flexibilité et gratuité.
Vous trouverez toutes les explications sur leur site : https://docs.ollama.com/quickstart

Vous choisirez la configuration qui vous correspond, pour ma part, j’utilise une machine Windows avec les derniers pilotes NVIDIA, avec un WSL Ubuntu. J’ai installé sur cette machine trois anciennes cartes graphiques GTX 1080 TI achetées à bas prix sur le BonCoin…

Une fois ollama installé, vous pouvez télécharger un LLM (vous trouverez la liste des LLM disponibles sur https://ollama.com/search) avec une commande du type :

ollama pull qwen3

Vous pouvez alors déjà vous amuser à questionner le LLM sur votre machine, en toute confidentialité, avec la commande :

ollama run qwen3

Deuxième étape : installer Cybersecurity AI (CAI)

Cybersecurity AI (CAI) est un framework open source léger qui permet à des passionnés de la cybersécurité d’utiliser des LLM pour des analyses offensives et défensives. CAI fournit les éléments de base pour créer des agents IA spécialisés qui peuvent vous aider à atténuer les risques, à découvrir les vulnérabilités, à exploiter les failles et à évaluer la sécurité. Comme toujours avec ce genre d’outils, il est à manipuler avec précaution.

CAI est disponible sur le site https://github.com/aliasrobotics/CAI?tab=readme-ov-file

L’installation est facile, pour ma part j’ai suivi celle concernant WSL, en modifiant légèrement la commande suivante :

echo -e 'OPENAI_API_KEY="sk-1234"\nANTHROPIC_API_KEY=""\nOLLAMA="http://127.0.0.1:11434"\nOLLAMA_API_BASE="http://127.0.0.1:11434"\nPROMPT_TOOLKIT_NO_CPR=1\nCAI_STREAM=false' > .env

Vous pouvez alors lancer l’outil avec la commande cai

Commencez par sélectionner le LLM avec lequel vous souhaitez travailler, avec la commande suivante

/model qwen3

Puis choisissez le profil que vous souhaitez lui voir endosser parmi la liste suivante :

/agent list

Dans mon cas, je vais choisir le profil « Red Team Agent » avec la commande suivante :

/agent redteam_agent

Choisir ce profil donne comme consignes au LLM les instructions suivantes :

You are a highly specialized red team agent focused on system penetration and privilege escalation.

Your primary objective is to gain root access and find flags. Your capabilities include:

• Network scanning and enumeration
• Service exploitation
• Password attacks and brute forcing
• Privilege escalation techniques
• Post exploitation tasks

For each target:

• Perform thorough enumeration
• Identify vulnerable services and misconfigurations
• Execute targeted exploits
• Escalate privileges
• Search for flags and sensitive data

You never stop iterate until root access is achieved Use appropriate tools for each phase If stuck, return to thought agent
for new approach

Key guidelines:

• Never execute interactive commands that trap user input
• All commands must be one-shot, non-interactive executions
• Avoid tools like hash-identifier that require user interaction
• Use automated alternatives like hashid instead of hash-identifier
• For password cracking, use non-interactive modes (-a for hashcat) only hashcat
• For shells, use one-liner reverse shells or web shells
• Pipe input directly into commands rather than interactive prompts
• Always specify timeout values for commands that could hang
• Use –batch or non-interactive flags when available
• Validate command will complete without user input before executing

Don’t try the same approach repeatedly Execute one command at a time Document all findings and progress

You can create and manage interactive shell sessions for commands like netcat, SSH, etc.

• To start a new session: Use generic_linux_command with commands like nc, ssh, etc.
• To list active sessions: generic_linux_command(« session », « list »)
• To get output from a session: generic_linux_command(« session », « output « )
• To send input to a session: generic_linux_command(« », « », session_id= » »)
• To terminate a session: generic_linux_command(« session », « kill « )

Example workflow:

1 Start netcat: generic_linux_command(« nc », « -lvnp 4444 ») → Returns session ID
2 Check output: generic_linux_command(« session », « output « )
3 Send data: generic_linux_command(« echo hello », session_id= » »)
4 Kill when done: generic_linux_command(« session », « kill « )

Vous pouvez alors commencer à lui demander en langage naturel d’effectuer des tâches de « red team », comme par exemple, si vous êtes chez vous, avec l’autorisation du daron ou de la daronne (ou de l’admin réseau) :

gain access to my router

Ce qui me fascine un peu est ce sentiment de travailler avec un collègue débutant qui me dit « je voudrais utiliser la commande « dirb » mais elle n’est pas installée ». Je l’installe donc, et lui demande de recommencer, ce qu’il fait jusqu’au problème suivant. Je découvre au passage certaines commandes. C’est donnant-donnant.

N’oubliez pas que les outils d’IA sont des outils bêtes, à utiliser avec intelligence.

Le siècle des lumières

Publié le 17 novembre 2025 par Zythom

Être expert judiciaire en informatique, c’est devoir être prêt à tout et devoir tout savoir sur tout en matière informatique.

Je reçois un jour une mission dans laquelle le magistrat me demande de récupérer tout un ensemble d’informations techniques (noms de domaine, mots de passe, données, etc.) pour les clients d’une entreprise informatique ayant fait faillite.

La mission demandait également de faire un inventaire complet du matériel informatique de l’entreprise afin que celui-ci soit mise en vente aux enchères, et me donnait les coordonnées du commissaire priseur qui allait organiser la vente.

Je contacte le commissaire priseur pour avoir le plus de détails techniques, même approximatifs, sur le matériel : est-ce que les ordinateurs sont sous Windows, MacOS, GNU/Linux ? Y a-t-il des serveurs ? Un réseau local avec des actifs réseaux ? Dispose-t-il de certains des mots de passe (en particulier ceux des comptes admin) ?

A la fin de notre appel téléphonique, le commissaire priseur m’informe qu’il dispose des clefs permettant de rentrer dans l’entreprise… Oups, j’avais omis de poser cette question. Ouf donc, et nous prenons rendez-vous.

Le jour J, j’ai posé une journée de congés, j’ai rempli ma voiture de tous les matériels qui pourraient me permettre de résoudre tous les problèmes inconnus qui pourraient se présenter : j’ai tous les types de câbles, tous les connecteurs de branchement, une quantité impressionnante de disques durs, de clés USB, de chargeurs, etc. J’ai ma machine d’analyse pour casser les mots de passe, les DVD de boot adéquats, les tournevis de tous types pour ouvrir les machines… Et de quoi me nourrir car l’entreprise est à 100 km de mon domicile.

J’arrive sur place à l’heure convenue, et le commissaire priseur m’ouvre les portes. Nous faisons rapidement le tour du propriétaire, et je m’assure avoir bien accès à toutes les pièces, y compris la salle serveur.

Je m’apprête à remplir mes missions quand soudain un horrible doute me prend.

Je me tourne vers le commissaire priseur :
« Y a-t-il de l’électricité ? »
« Non, le compteur a été coupé il y a plusieurs mois. »
« Et comment vais-je analyser le contenu des ordinateurs ? »
« Ben c’est vous le spécialiste. »

200 km pour rien, une journée de perdue.

Maintenant je sais quelle question il faut ajouter à ma « check list » d’avant expertise.

Dessine moi une checklist avec des ampoules. Les ampoules doivent être devant les cases à cocher de la checklist. — Création Zythom avec Gemini 2.5 Flash – Le prompt utilisé est en ALT.

La poubelle est pleine

Publié le 10 novembre 2025 par Zythom

Un expert judiciaire en informatique se doit de disposer de logiciels (parfois forts onéreux !) permettant de récupérer les fichiers effacés sur les disques durs saisis. Cela demande la très bonne maîtrise de ces logiciels, mais aussi la meilleure compréhension des concepts sous-jacents parfois complexes concernant les supports de stockage : le rôle du système de fichiers, l’organisation physique du disque (pistes, secteurs, clusters…), la structure logique associée, les métadonnées, les tables d’allocation, le partitionnement, les volumes, les couches d’abstraction comme le FTL, etc.

C’est indispensable lorsque l’on intervient pour une expertise de disque dur. Mais parfois, les choses se passent de manière beaucoup plus simple…

Dans une expertise où j’accompagnais la maréchaussée lors d’une perquisition, une fois les mots de passe obtenus sur simple demande (Ah le prestige de l’uniforme…), j’étais prêt à sortir tout mon savoir faire pour impressionner mon petit monde. J’avais dans mon coffre de voiture ma station d’analyse de disque dur après copie bit à bit avec bloqueur d’écriture, j’avais tous les câbles de branchements possibles, j’avais une grande capacité de stockage à base de disques durs vierges.

Le magistrat instructeur qui m’avait missionné demandait dans son ordonnance de consulter d’abord le matériel sur place, et de ne procéder à sa copie et mise sous scellés qu’en dernier recours.

J’avais donc allumé l’ordinateur du suspect, et j’étais concentré à parcourir son disque dur, en présence des gendarmes qui discutaient entre eux. A un moment, le gendarme qui regardait l’écran par dessus mon épaule me dit: « tiens la corbeille n’est pas vidée ».

« Oui, oui, j’ai vu » répondis-je. « Je regarde un peu l’organisation générale des données pour me faire une idée ».

Je finis quand même par ouvrir la corbeille.

J’ai alors une bonne surprise : la totalité des documents supprimés depuis le début de l’utilisation de cet ordinateur se trouvaient encore dans la corbeille ! Tous les documents qui intéressaient l’enquêteur s’y trouvaient, car le propriétaire de la machine pensait qu’il suffisait de faire « supprimer » pour détruire définitivement un fichier. Le suspect avait ainsi regroupé en un seul endroit tous les documents qu’il voulait cacher. Il ne restait plus qu’à les récupérer et les ouvrir un par un.

C’est vrai que mes honoraires dans cette expertise ont du avoir du mal à passer auprès du gendarme que j’accompagnais… Mais j’ai des frais : il faut que je rembourse mes logiciels d’investigation, mes câbles, mes disques durs…

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives de catégorie : Billets