J’ai été Vincent

J’ai participé à un jeu de rôle littéraire regroupant de nombreux blogueurs réunis dans une auberge fictive. Il s’agissait de mon premier jeu collectif d’écriture. L’idée était simple : chaque blogueur invente un personnage, ce dernier occupe l’une des chambres de l’auberge dans laquelle se trouve un carnet qu’il remplit deux ou trois fois par semaine. Les notes de tous les carnets sont publiées sur le site web (bien réel lui).

Un forum de discussion réservé aux blogueurs permet d’échanger et de proposer des interactions entre les personnages.

Il y a eu plus de 80 participants sur les trois mois et demi d’ouverture de l’auberge et plus de 800 billets publiés pendant cette période. Ça a été une aventure épique. Je vais vous présenter mon petit bout de la lorgnette, à travers les 9 billets de l’histoire que j’y ai inventée. Le présent billet fait office d’introduction du projet et du premier texte que j’y ai publié. Chaque texte publié ici sera suivi d’un commentaire de ma part sur son écriture. Le 9e texte sera suivi d’une conclusion sous la forme d’un bilan personnel, avec remerciements aux personnes qui ont organisées ce projet à la complexité insoupçonnée.

Chaque blogueur disposait d’un livret illustré contenant une carte des environs, un plan détaillé de l’auberge (RdC, 1er et 2e étage), les horaires des petits-déjeuners et repas, et les règles du jeu. En voici un extrait :

Les personnages sont soit des clientes ou clients, soit des membres du personnel de l’auberge. Chaque auteur a connaissance des textes écrits par les autres. Mais dans le récit, les personnages n’ont pas connaissance des textes des autres personnages. C’est un petit exercice de dissociation, qui fait tout le sel de ce jeu.
[…]
De façon naturelle, durant leur séjour, les personnages se croisent, se parlent et vivent divers événements, bénins ou non. Ces événements peuvent impliquer d’autres occupants de l’auberge. Il y a des interactions simples et des interactions plus lourdes qui peuvent impacter fortement le récit d’autres personnages.

Mon personnage :
C’est la première fois que j’écris une œuvre de fiction. C’est aussi la première fois que je découvre la difficulté d’inventer un personnage : lui trouver un caractère, une identité, un sexe, une personnalité, des sentiments, des idées politiques, etc. J’ai donc cédé à la facilité : ce personnage, ce sera moi. Et sur les conseils de l’organisatrice du projet dont je suis le blog depuis longtemps, j’ai changé mon pseudonyme Zythom pour le prénom Vincent.

Pendant les trois semaines (temps réel synchrone au temps de l’histoire) que j’ai passées à l’auberge, j’ai donc été Vincent.

Qui est Vincent ? Je vous l’ai dit, c’est moi. Voici donc la présentation du personnage Vincent, pour les participants de l’aventure : Vincent Mem, 56 ans est un informaticien un peu fatigué. Passionné par tout ce qu’il entreprend, un peu timide, bousculé par son implication dans la vie politique de sa commune, par les fantômes de ses anciens dossiers d’expertises judiciaires, il souhaite faire le point sur lui-même lors d’un séjour solitaire dans cette auberge qu’il a découverte sur internet.

Je jette quelques idées sur mon brouillon d’histoire, et je commence le premier billet. L’exercice est plus difficile que je ne pensais : il faut un titre (ça, ça va), un résumé, puis le billet. Le résumé est lu avant de lire le billet, et il est relu avant la lecture des billets suivants pour permettre au lecteur de rapidement se replonger dans l’histoire du personnage, qu’il a pu oublier (car il y a beaucoup de personnages !). Il ne faut pas spoiler, mais il faut pouvoir rappeler. Diantre.

Là aussi, pour le premier texte, j’ai fait au plus simple : le résumé est la présentation du personnage.

Le texte s’intitule : “Repli sur soi ou renaissance ?

Une vision du métier de RSSI à destination des étudiants

J’ai été contacté via Twitter par @ddevpros, mentor d’étudiants d’une formation Openclassrooms consacrée au métier de RSSI. Je ne connais pas cette formation, ni n’ai d’intérêts dans Openclassrooms, mais je ne peux pas résister longtemps à une demande d’interview, surtout quand celle-ci est à destination d’étudiants et qu’en plus les interviewers m’autorisent à la publier sur ce blog (autorisation obligatoire car il s’agit d’une œuvre collective). Merci donc à @ddevpros (mentor) et à Zabre (pseudo du mentoré) qui m’ont posé les questions. Je publie l’ensemble ci-dessous, en espérant que cet échange puisse aussi servir à des étudiants qui passeraient par ici.

0] Petite présentation
Cette interview étant amenée à être publiée sur votre blog, pourriez-vous vous présenter succinctement pour vos nouveaux lecteurs ?

Je suis informaticien, responsable de la sécurité des systèmes d’information dans une école de commerce, où j’exerce avec passion mon métier. Comme beaucoup de personnes, j’ai aussi un certain nombre d’activités en parallèle. Pour ma part, j’ai choisi de mettre mes compétences au service de la justice qui a accepté pendant 21 ans de m’inscrire sur la liste des experts de justice. J’ai été également conseiller municipal dans ma petite mais magnifique ville de 3500 habitants. Je suis marié à une merveilleuse avocate qui m’aide (et que j’aide aussi !) à essayer d’éduquer trois merveilleux enfants plein de vie et d’intelligence que j’aime.

J’aime la spéléologie, le parachutisme et l’aviron.

J’aime l’informatique et tout particulièrement l’intelligence artificielle (et les réseaux de neurones formels bouclés). J’aime bien aussi cracker les mots de passe.

J’aime la science-fiction (surtout les auteurs classiques de l’âge d’or), l’espace, la cosmologie, les mathématiques et l’épistémologie. Le tout à un niveau débutant.

Je tiens depuis 2006 un blog sous le pseudonyme Zythom, d’abord à l’adresse zythom.blogspot.fr puis à l’adresse zythom.fr

I] Métier actuel et expériences utiles
Pour ceux qui ne vous connaissent pas encore, quel est votre métier actuel ? En quoi consiste-t-il au quotidien ? Avez-vous des expériences passées qui vous ont été utiles pour ce métier ?

Je suis responsable de la sécurité des systèmes d’information. Mon rôle dans l’entreprise est de définir et mettre en œuvre la politique de sécurité du système d’information, diagnostiquer et analyser les risques numériques, choisir les mesures de sécurité et élaborer le plan de leur mise en œuvre, sensibiliser et former sur les enjeux de la sécurité informatique, auditer et contrôler l’application des règles de la politique de sécurité, et enfin effectuer une veille technologique et prospective.

Toutes mes expériences passées me sont utiles pour ce métier : j’ai été enseignant ce qui me sert pour la sensibilisation à la sécurité, j’ai été DSI ce qui me sert pour les aspects managériaux, budgétaires et de gestion de projets, j’ai été expert judiciaire ce qui me sert pour les aspects techniques, j’ai été chercheur ce qui me sert pour la veille technologique et l’envie d’apprendre et de toujours progresser.

II] Périmètre d’action/champ
Vous travaillez dans une école de commerce. Quel est le périmètre ou champ d’action que vous avez à couvrir ?

Mon périmètre couvre l’ensemble des risques numériques de l’entreprise. Je suis aidé en cela par l’ensemble du personnel, puisque chacun est concerné par la sécurité informatique et a un rôle à jouer (la chaîne, le maillon, etc.).

Comment gérez-vous le matériel que l’on pourrait qualifier de “non maîtrisé” ? (ex : les ordinateurs personnels des étudiants)

Le plus simplement du monde : ne faire confiance à personne. Les concepts de BYOD ou de Zero Trust sont parfaitement implantés dans l’univers de l’enseignement supérieur, car consubstantiels à sa mission. Comme vous ne maîtrisez pas les éléments terminaux, il faut parfaitement maîtriser les réseaux et les serveurs. Tout est énormément segmenté.

Comment gérez-vous la donnée personnelle de manière générale ?

C’est une préoccupation majeure de l’école. J’assiste quotidiennement le DPO de l’entreprise dans cette mission où j’interviens sur la dimension sécurité. Nous sommes tous les deux associés très tôt aux projets pour aider, conseiller et nous assurer de la conformité vis à vis des lois et règles de l’art.

III] Environnement
Disposez-vous de ressources matérielles et/ou humaines pour vous assister au quotidien ? Suffisamment ?

Je dispose de scanners de vulnérabilités, d’outils de gestion de parc, de parefeux très performants et de ressources matérielles très conséquentes. Mais surtout, l’école dispose d’une équipe d’informaticiens extrêmement compétents, qui n’ont pas besoin de moi, ce qui me permet de me concentrer sur la sensibilisation de la direction et des utilisateurs.

Pensez-vous que les autres employés sont sensibilisés à la sécurité informatique ? Faites-vous des exercices de sensibilisation ? Des formations en interne ? Ou même à l’usage des étudiants ?

Aujourd’hui, tout le monde est sensibilisé à la sécurité informatique. Néanmoins, les efforts des attaquants sont tels, et leurs astuces si déroutantes, qu’il faut toujours et toujours former les utilisateurs. Les emails de phishing sont quasi parfaits, les faux sites ressemblent de plus en plus aux vrais sites, les appels téléphoniques se faisant passer pour des services supports sont de plus en plus réalistes… Dans quelques années (mois?) les deepfakes vocaux permettront de se faire passer au téléphone pour une personne connue et de confiance !

Pour cela, j’utilise tous les outils de communication à ma disposition : emails d’alerte (avec au passage un rappel d’une règle de bonne pratique), site intranet, site de formation en ligne, chaîne vidéos… Le tout à destination des personnels, des professeurs et des étudiants. Si possible dans la bonne humeur, tout en restant professionnel.

IV] Démarches/Normes
Dans votre manière de travailler, appliquez-vous des démarches comme ITIL ou des normes comme ISO27001 ? Si non, est-ce par choix ou par obligation ?

J’ai été formé à différentes méthodologies, que j’ai ensuite enseignées. J’en connais le formalisme, l’intérêt mais aussi les limites. J’ai suivi une formation ITIL lorsque j’étais DSI pour optimiser les processus du service informatique. J’ai suivi une formation de Risk Manager ISO/CEI 27005:2018 (c’est son nom complet). J’ai étudié EBIOS, je lis attentivement les différentes normes ISO27xxx et en particulier les documents de l’ANSSI (particulièrement bien faits). Tous ces documents donnent des règles très importantes et des idées qu’il faut suivre.

Mais il faut rester pragmatique. Les méthodologies s’appuient sur des modèles d’entreprise, sur des modèles de comportement, sur des vulnérabilités documentées, sur des retours d’expériences. Les normes sont le langage de la formalisation des connaissances sur un sujet donné au moment de sa rédaction. Mais le monde bouge, les modèles sont imparfaits, les méthodologies évoluent, les référentiels également.

Il faut savoir se détacher de la norme. Par exemple, dans ma politique de gestion des mots de passe, j’ai écris noir sur blanc qu’il ne fallait pas changer son mot de passe régulièrement. S’il est bon, complexe, différent pour chaque compte, non compromis, pourquoi en changer ? Parce que « c’est plus sûr » ? Vous en êtes certain ? Les utilisateurs n’ont-ils pas un nombre impressionnant de solutions de contournement des politiques de gestion des mots de passe qui impose d’en changer tous les x jours ?

Avez-vous des règles spécifiques liées au domaine d’activité (éducation)

Les règles spécifiques au domaine d’activité de mon entreprise sont décrites dans le référentiel général de sécurité (RGS) puisque l’école à une mission de service public.

Les règles du RGS sont par ailleurs durcies par celles du CNRS puisque l’école héberge un laboratoire du CNRS.

V] Travail au quotidien
Suivez-vous une méthodologie de travail comme l’agilité ?

La méthode Agile a été initialement conçue pour le domaine du développement logiciel. J’ai eu l’occasion d’étudier en détail la méthode agile dite « Scrum » dans le cadre d’une de mes expertises judiciaires. Ce que j’en ai retenu est qu’il n’est pas nécessaire de disposer d’un cahier des charges complet et très détaillé, pour ensuite faire un long travail de développement qui finalement est présenté au client qui trouvera souvent à redire, voire à exiger des modifications qui s’avéreront très coûteuses car trop tardives dans le cycle de développement en cascade, en V ou en spirale. La méthode agile nous propose d’avancer par petites touches concentrées sur l’essentiel, et faire beaucoup d’allers-retours avec le client. C’est un dérivé des méthodes itératives. J’utilise ce principe le plus souvent possible.

Mais ma méthode de travail (mon hygiène de vie ?) est surtout de suivre les accords toltèques et en particulier les n°3 et n°5 :

Accord n°3 : Ne faites pas de suppositions.
Ayez le courage de poser des questions et d’exprimer ce que vous voulez vraiment. Communiquez le plus clairement possible avec les autres, afin d’éviter les malentendus.

Accord n°5 : Soyez sceptique, mais apprenez à écouter.
Ne vous croyez pas vous-même, ni personne d’autre. Utilisez la force du doute pour remettre en question tout ce que vous entendez. Écoutez l’intention que sous-tendent les mots et vous comprendrez le véritable message.

Etes-vous en contact avec des organismes tel que l’ANSSI ? Si oui, est-ce une obligation ou une volonté ?

Je suis abonné aux flux RSS de toutes les rubriques du site de l’ANSSI, et je dévore leurs guides et recommandations. J’aimerais beaucoup travailler avec eux (en dehors des contacts ponctuels que j’entretiens avec eux), mais mon entreprise n’est pas OIV

J’ai donc un contrat avec une entreprise privée qui stipule les termes de mise à disposition d’ingénieurs spécialisés en crises cybers pour nous aider en cas de blackout.

Comment gérez-vous la communication auprès de l’école ? De la même manière, comment gérez-vous la documentation des process de la sécurité ?

J’interviens beaucoup à l’oral avec des présentations des enjeux et des risques, soit auprès du conseil d’administration, du comité de direction, des différents services de l’école ou association d’étudiants. C’est mon côté « ancien professeur » qui aime faire des présentations et aime faire un « one man show » adapté à son public pour faire passer les messages. C’est parfois très difficile car j’ai un trac incroyable pour parler devant des personnes que je ne connais pas dont je crains le jugement. Mais souvent les gens sont bienveillants.

La documentation des process de la sécurité est faite à travers les différents documents que j’écris et que je révise, ainsi que leurs annexes : PSSI, politique de gestion des mots de passe, politique des règles de parefeux, analyses de risques, mise en place de la cellule de crise cyber, comité sécurité, etc. Les travaux que je mène avec les différents acteurs de la sécurité sont également documentés : appels d’offres du service achat intégrant un volet sécurité, dépôts de plainte du service juridique à chaque attaque numérique, etc.

Avez-vous de l’astreinte au niveau sécurité ?

Non, mais en cas de crise cyber, je suis sur le pont 24/7 auprès de l’équipe informatique qui a mis en place une astreinte.

VI] Challenge technique
Avez-vous des backups de données ? Si oui, comment les gérez-vous ? Avec des méthodologies telles que “3 2 1” ?

Les données de l’entreprise sont sauvegardées dans les règles de l’art, telles que rappelées par la méthodologie « 3 2 1 ». Par contre, il ne faut pas oublier que vos sauvegardes ne servent à rien si elles ne sont pas vérifiées régulièrement et si vous ne disposez pas de serveurs pour les exploiter rapidement en cas d’incident majeur. Ces aspects sont décrits dans le plan de reprise d’activité (PRA) qui est le complément du plan de continuité d’activité (PCA).

Comment gérez-vous les mises à jour des logiciels ? Sont-elles faites automatiquement dès qu’une nouvelle version est disponible ou attendez-vous plusieurs jours ? Pourquoi ?

Parfois les éditeurs nous font l’honneur de séparer les mises à jour de leurs logiciels en deux parties : mises à jour de sécurité et mises à jour fonctionnelles. Dans ce cas les mises à jour fonctionnelles sont mises en attente et étudiées par un processus sérialisé classique tests – pré prod – prod. Les mises à jour de sécurité sont quant à elles appliquées immédiatement.

Si les mises à jour intègrent une partie sécurité, elles sont appliquées immédiatement.

Si l’on ne sait pas, ou si l’on n’a pas le temps d’analyser les mises à jour, elles sont appliquées immédiatement.

Si une mise à jour casse un serveur (ce qui est de plus en plus rare), le PCA entre en action.

Avez-vous un plan d’urgence en cas d’attaque informatique ?

Oui, il y a un plan détaillé de réactions face aux attaques. Le premier chapitre est consacré aux défaillances de base (panne matérielle d’un ordinateur, etc.), puis le niveau de criticité des problèmes augmente jusqu’à déclencher les PCA, PRA et cellule de crise cyber.

Avez-vous déjà vu ou fait face à une attaque ?

Oui, toutes les semaines, mais pas encore du niveau DEFCON 1

Lors de problématiques de sécurité, vous et vos équipes faites vous des post mortems ?

Oui, dans tous les cas, mais de manière plus ou moins détaillée. L’analyse post incident est versée « au dossier » (par exemple dans le cas de l’instruction d’une plainte) mais surtout vient modifier si nécessaire les différentes procédures de sécurité et plans associés. C’est le principe de la roue de Deming en qualité (ou PDCA).

Comment faites vous pour rester toujours au fait des dernières actualités et évolutions ? En d’autres termes, avez-vous une veille technique et comment vous formez-vous ?

Je suis très curieux par nature, donc je lis beaucoup. Mais ce que je trouve de loin le plus efficace est l’échange avec mes pairs, et en particulier les retours d’expérience. Je suis membre du CESIN et de différents groupements de RSSI, de DSI, d’experts judiciaires. C’est plus difficile d’en parler publiquement, mais je m’attache depuis 2006 à partager mes expériences sur mon blog. Cela ne m’a pas valu que des amis.

Les blogs, les réseaux sociaux et les forums sont des lieux d’échange extraordinaires. J’ai un lecteur de flux RSS qui totalise des centaines de flux que je lis scrupuleusement.

Disposez-vous d’outils de monitoring de sécurité ? De remontées d’alertes ? Exemple : un nouveau port est ouvert.

Je ne suis pas rattaché à l’équipe de production. Les administrateurs réseaux disposent heureusement de tous les outils d’alerte et de supervision de leurs équipements. Je n’en ai pas les compétences ni le savoir faire. Ils constituent le cœur du dispositif de défense temps-réel. Ce sont les soutiers de l’entreprise qui assurent son fonctionnement et sa sécurité.

Les outils que j’utilise sont les suivants :
– une distribution Kali sur mon poste de travail et sur une machine dans « le Cloud »
– des scanners Nessus, OpenVAS etc.
– l’accès au logiciel de patch management des admins réseaux
– un tableur pour les indicateurs de sécurité…

VII] Audit interne/externe
Réalisez-vous des audits ? Si oui, sont-ils réalisés en interne ou par le biais de prestations externes ?

Je réalise quelques audits de sécurité à l’aide des outils cités ci-dessus, mais l’essentiel des audits est réalisé par des sociétés spécialisées à travers des prestations que je supervise.

Comment abordez-vous le côté législatif de ces audits ? Le côté humain ?

L’aspect juridique est extrêmement important. Je m’appuie sur mes connaissances, sur ma capacité à aller me renseigner sur la jurisprudence (qui fait partie de la veille à faire dans le métier de RSSI). Je n’ai pas encore audité l’aspect humain de la sécurité informatique, car je préfère défendre les utilisateurs plutôt que de leur tendre des pièges.

Suivez-vous un calendrier d’audits ? (ex : audit tous les ans de l’application abc)

Je mène des campagnes d’audits adaptées en fonction de la criticité des services : tous les jours, tous les mois, tous les trimestres, tous les ans. Beaucoup d’audits sont automatisés. Les audits externes sont menés sur une base annuelle. Les outils tiers sont audités sous la responsabilité contractuelle des prestataires, avec communication des conclusions d’audit.

VIII) Blacklist (OS – technologies)
Dans votre environnement de travail actuel, avez-vous des restrictions sur des OS ou technologies interdites ? Si oui, est-ce de votre volonté ou une obligation de vos supérieurs ?

Les postes de travail des salariés de l’entreprise sont supervisés et administrés. L’utilisateur n’est pas administrateur de son poste de travail, sauf exceptions tracées. Dans le contexte d’une grande école, il n’est pas souhaitable de durcir de manière excessive le poste de travail (verrouillage des ports USB, etc.). La sécurité doit donc se faire également du côté de l’anticipation et la remédiation : sauvegarde des postes de travail, chiffrement des disques durs pour les vols/pertes, accompagnement des utilisateurs dans le choix des applications dont ils ont besoin, dans les problèmes qu’ils rencontrent.

Le support informatique est essentiel, et est l’un des facteurs clefs de la sécurité informatique. Changer un mot de passe peut s’avérer compliqué, créer un mot de passe d’application quand on est en authentification multifacteur également.

IX] Point de vue humain
Comment décririez-vous votre sentiment au quotidien ? Le métier de RSSI est-il stressant ou prenant mentalement ?

Je travaille 9h pleines par jour mais sans stress, en tout cas avec beaucoup moins de pression que l’équipe de production en charge des serveurs et des réseaux. Je suis quelqu’un de réservé a priori, mais très bavard quand je suis avec d’autres passionnés. J’aime beaucoup mon métier et l’informatique de manière générale. Donc, le soir quand j’arrive chez moi après 9h devant mes écrans, j’allume mon ordinateur pour tester « des trucs », bidouiller « des machins » ou démonter « des bidules ». J’aime bien comprendre comment fonctionnent les systèmes informatiques, comment est stockée l’information sur un disque dur, comment fonctionne l’apprentissage d’un réseau de neurones bouclés (donc à états), comment mettre au point une sonde Suricata avec un Raspberry Pi…

Professionnellement, je suis donc un peu pareil : j’aime bien comprendre, apprendre, aider, enseigner, communiquer en confiance et avec bienveillance.

Au début, j’étais en attente de la catastrophe, du grand blackout, du méga cryptolocker de la mort, et je dormais très mal. Maintenant je dors mieux car j’ai expliqué à tout le monde que la catastrophe arrivera de toutes manières, quoi que l’on fasse, que nous nous y préparons, que le risque zéro n’existe pas, que ce n’est pas la sécurité informatique qui coûte cher, mais l’absence de sécurité informatique.

Mais je suis encore puceau en matière de grande crise cyber, donc je ne sais pas encore comment ça se passera et si mon poste servira de fusible… Je ne suis pas pressé d’être dépucelé.

Quelles sont vos horaires types, s’il y en a ?

8h30 – 18h30 avec une pause d’une heure. J’ai 20mn de marche dans la forêt pour aller au travail. Idem pour rentrer le soir. Je suis un homme heureux.

Qu’est-ce que la COVID a changé dans votre manière de travailler ? Le contact avec les équipes est-il plus compliqué ? Une fois la crise sanitaire “finie”, allez-vous faire perdurer le télé-travail ?

Je n’aborderai pas ici l’aspect terrible de cette crise sanitaire avec sa cohorte de morts et les souffrances engendrées dans l’ensemble de la population.

J’habite à 450 km de mon lieu de travail. Je fais donc un A/R de 900 km en train chaque semaine pour aller travailler (je loue un logement près de mon entreprise). Mon entreprise étant à la pointe en matière de vie au travail, j’ai pu bénéficier dès mon embauche de deux jours de télétravail par semaine. La crise sanitaire liée à la COVID-19 m’a simplement fait basculer en 100 % de télétravail, comme beaucoup des collaborateurs de l’entreprise.

Personnellement, j’ai très bien vécu cette période : j’avais les codes du télétravail (bureau réservé, équipement adapté, isolement domestique, liaison fibre, liaison de secours, etc.) et l’habitude des réunions en visioconférence. Et puis cela m’évite 900 km de train par semaine.

L’aspect des discussions informelles me manque, mais j’arrive à le susciter avec une partie des collègues avec lesquels je peux faire une discussion en « off » par exemple après une réunion. Finalement, avec un peu de bonne volonté, on a réussi à numériser « radio moquette » 😉

Une fois la crise sanitaire finie, je vais enfin pouvoir aller remanger avec mes collègues 3 fois par semaine, croiser des étudiants souriants et dynamiques, et surtout prendre une bière avec les copains.

Enfin le retour en présentiel…

FIN] Evolution ?
Avez-vous des envies d’évolutions pour la suite ? Si oui, lesquelles ?

J’ai énormément d’envie d’évolutions pour la suite : j’aimerais travailler avec un SOC, j’aimerais apprendre, comprendre et enseigner les bonnes pratiques en perpétuelle évolution, j’aimerais arriver à faire admettre naturellement que la personne qui clique sur un lien de phishing n’est pas fautive, mais une victime, j’aimerais que les analyses de risque que je produis arrivent jusqu’à la direction, j’aimerais avoir une équipe de passionnés à manager…

J’aimerais surtout être jeune à nouveau pour avoir le temps de mener à bien mes envies d’évolution.

Merci pour toutes vos réponses.

Merci pour toutes vos question. Et préparez bien la relève : dans 10 ans, j’aurai 100 ans…

Ça va partir dans tous les sens

Ce petit billet pour prévenir mes lecteurs que ce blog va partir un peu dans tous les sens, alors ne m’en veuillez pas… Voici approximativement le programme des prochains billets.

J’ai participé l’été dernier à un exercice littéraire très riche d’enseignements, et je voudrais en faire un bilan à la Asimov (toute proportion gardée), en publiant les billets de l’histoire que j’ai inventée, avec des explications introductives et conclusives pour chaque billet. Pour que cela fasse sens, je vais les publier les uns à la suite des autres, pour garder la continuité de l’histoire. Les introductions spoileront sans doute un peu l’histoire, mais présenteront le contexte de sa construction, et les conclusions seront un exercice de bilan critique.

J’apprends beaucoup sur la sécurité informatique, et pas seulement au niveau technique. J’ai envie de faire part ici de cet apprentissage, non pas pour les experts de ce domaine qui n’apprendront rien, mais pour les débutants, les étudiants et les utilisateurs qui se débattent entre leur chaise et leur clavier. Ce seront des billets entre le rapport d’étonnement, la mise en place des règles que je préconise, des expérimentations d’outils… Il faut que j’arrive à me défaire de cette idée que quand on écrit sur la sécurité informatique, on se heurte nécessairement à des roxors hautains lanceurs de piques assassines. Je crois qu’il y a de la place pour une approche bienveillante, même dans ce domaine.

Je bricole pas mal avec les réseaux de neurones de ma jeunesse. J’explore des outils “clef en main” mais je tente aussi le hacking de ces technos pour mieux comprendre ce qu’elles font. En ce moment, ça part un peu dans tous les sens, mais c’est passionnant. A voir s’il y a matière pour jeter ça dans un billet.

Un professeur m’a contacté pour m’interviewer avec l’un de ses étudiants sur le métier de RSSI. L’exercice est toujours périlleux, mais mes réflexes d’ancien expert judiciaire reviennent souvent à la charge : quand on me demande mon avis, j’ai toujours envie de le donner (en mon âme et conscience). Peut-être ce travail commun de questions/réponses trouvera-t-il le chemin de ce blog…

Je m’amuse pas mal à bricoler le réseau de la maison et mes services autohébergés. Entre mes nouvelles bornes Wifi, mes tests sur les NIDS, la segmentation, les parefeux, les routeurs et ma découverte de l’IPv6, j’ai beaucoup à écrire, pour faire un retour d’expérience, mais aussi pour avoir vos avis.

Je suis tombé dans la marmite de la généalogie, et je passe des week-ends entiers à remonter le temps et découvrir les terres de mes ancêtres. Là aussi, il y a beaucoup à dire et tant à partager 🙂

Je teste pas mal de générateurs de blogs statiques. Je me suis rapidement mis au Markdown, mais je tâtonne encore : je cherche le bon équilibre entre mains dans le cambouis et poils dans la main… Donc il va peut-être y avoir du changement de ce côté-là aussi 🙂

Je lis beaucoup en ce moment : des livres papiers, des billets de blogs, des articles de recherche, des comptes rendus de conférences… J’admire tant de gens, j’apprécie tant leur énergie, leur entrain, que parfois je m’épuise. J’ai fortement réduit le temps passé sur les réseaux sociaux, même si cela reste ma bouffée d’oxygène et ma fenêtre sur le monde : j’ai choisi de suivre les bonnes personnes, et pour l’instant j’ai échappé à la malveillance. J’ai prévu de faire un point sur le thème des réseaux sociaux également.

La publication en livres des billets de ce blog a pris du retard. Je ne désespère pas d’arriver à enfin sortir les tomes 7 et 8, toujours en version électronique gratuite sans DRM et en version papier pour ma famille et mes amis.

Ce blog restera ce qu’il a toujours été : le web log extime de Zythom, à destination de la première IA qui sera capable d’en absorber toute la substance et me faire vivre pour l’éternité. En vrai, il est surtout à destination de mes enfants et de leurs futurs enfants, pour qu’ils sachent ce que faisait leur (pé)père quand il ne jouait pas avec eux.

La vie est si courte, et il y a tant de choses à faire.
A bientôt.

Mon petit mot à Mô

La première fois que je t’ai rencontré, tu dépassais de la foule réunie dans ce café de Lille privatisé pour une rentrée « saoulennelle » où le champagne coulait à flots.

Puis nos chemins se sont recroisés au procès de Maître Eolas dont tu étais l’avocat et où j’intervenais comme expert informatique. Tu m’avais sauvé la vie en venant m’annoncer que finalement je n’interviendrais pas à la barre des témoins, quand la panique menaçait de m’emporter dans cette salle des pas perdus.

Pour t’excuser de m’avoir fait venir inutilement de ma province profonde, tu m’avais proposé de prendre un verre dans un bar près du palais, avec Maitre Eolas et Pascale Robert-Diard. Je m’étais retrouvé, sans y croire vraiment, entouré de grandes personnes importantes, moi le petit expert de province taiseux.

Tu m’avais placé dans ta Mô’groll en bonne compagnie et ça m’avait ému. Quand je t’en avais remercié, tu avais éclaté de rire en ajoutant “et maintenant tu me dois une bonne bouteille”. Nous l’avons bu ensemble à ton cabinet que tu venais d’aménager et que tu m’avais fait visiter avec fierté, non sans m’avoir présenté ta secrétaire “la seule vraie personne qui fait tout fonctionner ici”.

Les organisateurs des Confluences Pénales de l’Ouest nous avaient placé dans le même hôtel. Tu me titillais en DM sur Twitter pour un soi-disant problème informatique sur les ordinateurs de ton cabinet, parce “bon l’informatique ça ne marche jamais comme on le souhaite”. Mais tu étais avocat ET geek, à ta façon. En descendant de ma chambre d’hôtel, je t’ai vu de dos à la réception, et chose extraordinaire que seule une personne comme toi a réussi à me faire faire, je t’ai accueilli d’un tonitruant “AH BEN T’ES ENFIN LA, MIN BILOUTE” lancé à la cantonade. Tu t’étais retourné doucement avec un grand sourire, en demandant à l’accueil d’appeler la sécurité…

Ces deux jours, aux Confluences Pénales de l’Ouest, ont été riches de discussions privées, lors de nos marches côte à côte dans les rues d’Angers. Parmi ces anecdotes, tu m’avais raconté celle du nom de la SCI que vous aviez donné avec des camarades de jeunesse et qui m’avait fait rire. J’ai depuis oublié ce nom et je m’étais promis de te le demander lors de notre prochaine rencontre. Tu m’avais aussi confié que tu étais malade en me demandant de ne pas en parler. J’ai tenu parole. Nous avons beaucoup parlé du sens de la vie, de l’importance des proches, et de mille anecdotes qui donnent du sel à l’existence. Tu savais faire oublier le gouffre de notoriété et de compétences qui nous séparait.

Ta mort laisse un grand vide, bien sûr auprès de tes proches et de tes amis, mais aussi auprès des personnes comme moi qui t’ont croisé quelques fois. C’est dire la place de ton humanité, ta tendresse et ton excentricité…

Repose en paix Maître Mô, min grand biloute.

Deux ans après

Il y a deux ans, j’ai changé d’entreprise et de métier. En deux ans, j’ai découvert le fonctionnement de ma nouvelle entreprise, le télétravail deux jours par semaine, la vie loin de ma famille trois jours par semaine dans une petite location, un nouvel équilibre de vie.

Mes nouveaux collègues m’ont bien accueilli, d’autant mieux que j’ai tout de suite expliqué ma démarche : “je suis RSSI débutant avec expérience, et vous ne m’avez pas attendu pour faire de la sécurité informatique, donc je ne vais pas vous expliquer votre métier, malgré mes cheveux blancs“.

L’équipe en charge des serveurs et réseaux est au top, l’équipe de développement fait du développement de qualité, l’équipe support fait ce qu’elle peut face aux utilisateurs… Bref un bon service informatique comme je les aime.

Apprendre un métier, même quand on a de l’expérience (surtout !) reste un vrai challenge. J’ai beaucoup progressé, mais je sais que jamais je n’atteindrai les compétences techniques d’un roxor de l’ANSSI.

Pour autant, je ne suis pas un suxor… J’arrive à défendre pas mal de projets portés et demandés par les équipes techniques, qui n’étaient pas nécessairement entendu auparavant. Je communique plutôt pas mal et j’ai réussi à trouver un ton légèrement humoristique qui semble bien passer auprès des utilisateurs. Le niveau de sécurité monte petit à petit, et de moins en moins de monde se dit “ça ne m’arrivera pas, pas à moi”, et de plus en plus sont demandeurs de protections, dont ils ont besoin aussi bien dans l’univers professionnel que personnel.

Pourtant la tache est immense. Les problèmes sont complexes, la pression est permanente. Depuis deux ans, je me couche souvent le soir vers 21h, lessivé. Mais je n’arrive pas à dormir avant 23h, pour enchaîner sur une journée de 10h…

Je SAIS qu’une crise cyber d’envergure nous tombera dessus, mais je ne sais pas quand. Je prépare les PCA et PRA, la mise en place de la cellule de crise cyber et ses liens avec la cellule de crise classique, mais je sens bien que le jour où ça va exploser, je vais prendre cher… Et pour quelqu’un qui aime tout prévoir, qui aime être prêt à tout, c’est difficile de vivre avec une épée de Damoclès.

Je me sens comme le démineur qu’on envoie nettoyer le terrain sous le feu de l’ennemi.

Et sur ces deux années, l’une s’est déroulée en pleine pandémie, qui bien sur continue. Tous les plans d’urgence ont été déclenchés, les licences VPN de secours ont été activées, le personnel a été équipé rapidement en ordinateur portable, les professeurs ont très rapidement modifié leur pédagogie pour basculer en distanciel, puis en enseignement hybride. Une grande école de commerce, c’est un organisme très adaptatif qui survit dans un milieu très concurrentiel : les professeurs sont formidables, de haut niveau, le personnel solidaire et les étudiants très motivés.

Mais les étudiants souffrent, même les plus favorisés. La solitude est pesante. Leur jeunesse leur file entre les doigts, ce moment exceptionnel qui ne reviendra pas.

Leur seul lien avec l’extérieur, confinés dans leur chambre, passe beaucoup par l’informatique. Tout le travail pédagogique des professeurs passe par l’informatique. Tous les outils professionnels des salariés de l’école passent par l’informatique. Le numérique est partout et grâce à lui, et aux efforts de tous, le système est résilient.

Mais le RSSI, et bien sûr toute l’équipe informatique, sait sur quoi tout cela tient. Même les plus grands tombent sous le coup d’une faille zéro jour exploitée par des États, ou par des scripts kiddies. Même les journaux grands publics parlent de catastrophes numériques qui touchent, un coup une grande entreprise, un autre un groupe d’hôpitaux…

Alors le soir, je prie pour que mon monde existe toujours le lendemain.
Et, comme face à la mort, c’est plus dur quand on n’est pas croyant.

Vous voyez, je gère bien le stress.
J’ai été élevé à la dure.

Le PC d’occasion – 4e partie

Le billet précédent se terminait ainsi : Il me reste à vous narrer les échanges avec le vendeur de Backmarket, et le service après-vente d’icelui.

Ayant constaté avec le support Microsoft que la licence Windows 10 fournie avec le PC d’occasion était déclarée chez eux comme “piratée”, j’ai contacté aussitôt le vendeur de Backmarket. Voici nos échanges :

Jour J
Bonjour, après appel auprès du support Microsoft, il s'avère que la
clef d'activation de Windows 10 est une clef enregistrée comme piratée
chez eux (depuis un an). Merci de m'adresser une clé Windows 10 correcte
et valide.
Bien à vous
Zythom

Jour J+2
bonjour' OK je vous envoie merci

Jour J+8
Bonjour, Je n'ai encore rien reçu. Pouvez-vous me dire par quel canal
vous comptez me l'adresser ?
Bien à vous
Zythom

Jour J+15
bonjour' vous achète une clé sur internet il coute 10 euros je vous
rembourse merci bien

Jour J+15
Bonjour, il n'est pas question d'acheter une clé et d'attendre un
éventuel remboursement de votre part. Merci de m'adresser une clé valide
le plus rapidement possible, par ce canal de communication.
Bien à vous.
Zythom

A partir de ce moment-là, il n’a plus été possible d’obtenir une quelconque réponse de ce vendeur, ni directement, ni par l’intermédiaire de Backmarket (qui sert de plateforme de vente) qui l’a relancé plusieurs fois. Silence radio total. La suite de la conversation se fera exclusivement avec le SAV de Backmarket :

Jour J+15
Bonjour [Zythom],
J'espère que vous allez bien.
Je vous remercie pour votre e-mail, que j'ai lu avec attention.
Je suis vraiment désolée de cette situation singulière qui je peux
le comprendre peut être agaçante.
Ayant à cœur votre satisfaction, je vous informe que je viens
d'adresser une demande à [vendeur taiseux] concernant votre clé
d'activation Windows.
Il dispose de 24 heures ouvrées pour apporter une réponse à ma demande.
Je vous confirme que le marchand va vous apporter une solution adéquate
et conforme à notre charte qualité.
N’hésitez pas à échanger directement avec votre marchand tout au long
de la procédure.
Rassurez-vous, je reste à votre écoute pour appuyer vos demandes si le
besoin s'en fait sentir.
Dans l'attente, je vous souhaite de passer une excellente fin de
journée.
Bien à vous,
[prénom d'une personne du SAV]

Jour J+21
Bonjour,
Comme indiqué précédemment, je ne compte pas payer une licence et
attendre un hypothétique remboursement d'un vendeur m'ayant vendu un
ordinateur avec une licence indiquée comme piratée par Microsoft.
Par conséquent, je vous informe que sans licence Microsoft valide
reçue par ce canal de communication d'ici un mois à compter de la date
d'aujourd'hui, je déposerai une plainte auprès du Procureur de la
République contre Backmarket et ce vendeur.
Bien à vous,
Zythom

Je dois dire que cette réponse, que j’ai fait lire à mon épouse après envoi, l’a faite sourire : “tu comptes poursuivre cette société et ce vendeur au Pénal ?”

Bon, j’ouvre ici une parenthèse pour les lecteurs, afin de vous faire profiter du savoir de la meilleure juriste du monde. En cas de litige avec un commerçant en ligne, il faut :
– essayer de trouver un accord avec le vendeur par email.
– si pas d’accord, envoyer une lettre en recommandée avec avis de réception détaillant les éléments du problème et toutes les références possibles.
– si pas d’évolution, il faut contacter une association de consommateur pour essayer de trouver un accord amiable, ou la Fédération des Entreprises de Vente A Distance si le site y est adhérent, ou saisir le service de médiation de la consommation, ou signaler le problème à la DGCCRF via la plateforme SignalConso, ou directement un avocat qui vous expliquera comment entamer une procédure devant les tribunaux.
– ensuite, c’est parti pour une longue lune de miel avec votre avocat·e qui vous aidera à saisir la justice civile, c’est-à-dire le juge des contentieux de la protection (ex juge du tribunal d’instance) ou le tribunal judiciaire (fusion du tribunal d’instance et du tribunal de grande instance) selon le montant du litige.
Fin de la parenthèse en partie issue du site economie.gouv.fr pour la raison exposée dans le paragraphe suivant.

En effet, étant marié avec une avocate, j’ai la chance d’avoir une professionnelle du droit à mes côtés. Je ne sais d’ailleurs pas qui de l’épouse ou de la professionnelle m’a répondu : “Tu te débrouilles avec ton litige à 130 euros”.

La voix de la sagesse.

Mais malgré mon absence totale de compétences juridiques sérieuses, en dehors de ma capacité en Droit en Recherches sur Internet, j’ai reçu la réponse suivante du SAV de Backmarket :

Jour J+24
Bonjour [Zythom],
Je reviens vers vous concernant le suivi de votre dossier.
Le marchand ne disposant pas d'une clé d'activation en stock vous a
proposé d'en acheter et de vous faire rembourser.
Cependant, cette proposition ne vous convient pas.
Ce que je vous propose désormais comme ultime solution, c'est de
renvoyer l'appareil au marchand pour qu'il procède à votre
remboursement.
Je vous ferai un code promo pour vous permettre d'acheter un autre
appareil.
Dans l'attente de vous lire, je vous souhaite de passer une excellente
journée.
Bien à vous,
[Prénom d'une personne du SAV]

Et là, forcément, je me dis que l’affaire est mal engagée. J’ai bien conservé les cartons d’emballage, mais je me suis bien gardé de dire que j’étais en train de prévenir (indirectement) la mairie que le disque dur du PC d’occasion contenait encore toutes leurs données. Impossible de renvoyer le tout (d’ailleurs ce n’est pas mon souhait).

Jour J+26
Bonjour,
Cette solution ne me convient pas. J'attends l'envoi d'une clé
d'activation non piratée pour que l'achat effectué sur votre plateforme
soit conforme à la législation en vigueur.
Bien à vous,
Zythom

Jour J+28
Bonjour [Zythom],
Comme nous sommes toujours sans nouvelles du revendeur, quelle
alternative preferez-vous?
- Vous renvoyez le produit (sans frais bien sur) et je vous rembourse
la commande
- Vous achetez la clé que je vous rembourse dès réception de votre reçu.
Vous pouvez être certain que votre remboursement sera fait très
rapidement dès que j'aurai reçu votre email avec le justificatif de
paiement.
Dans l'attente de votre retour, je vous souhaite une belle journée,
[Prénom du support niveau 2 du SAV]

Bon, soit je laisse tomber, soit j’achète moi-même cette fichue clef d’activation. Je vais donc sur le site de Microsoft pour passer l’achat et là, STUPEUR. Microsoft mérite bien son surnom de Micro$oft… 145 euros la licence la moins chère ! (je rappelle que j’ai payé le PC complet, livraison incluse, 130 euros).

Bienvenu dans l’univers des licences Windows.

Comme je ne suis ni revendeur, ni assembleur, je considère que je n’ai pas le droit d’acheter une licence EOM (Original Equipment Manufacturer). Je n’ai le droit, formellement, que d’acquérir une licence dite “Retail”. Me voici donc à la recherche d’un site vendant une licence Retail Windows 10, et j’en trouve une à 64 euros. Je contacte donc le SAV Backmarket :

Jour J+29
Bonjour,
Sur le site officiel Microsoft, la licence Windows 10 la moins chère
coûte 145€
cf https://www.microsoft.com/fr-fr/store/b/windows
Il semble y avoir beaucoup de sites qui vendent des licences pirates
(à quelques euros), et d'autre part comme je ne suis ni revendeur, ni
assembleur de PC, je n'ai pas le droit d'acquérir une licence EOM.
J'ai trouvé un site qui semble vendre des licences à un prix correct
(64 euros ttc)
Me confirmez-vous la prise en charge de ce coût ?
Bien à vous,
Zythom

Réponse positive du SAV de Backmarket,
achat par mes soins,
remboursement rapide par le site,
dossier clôt.

Conclusions :
– j’ai parfaitement conscience d’être un acheteur pénible en matière informatique (pour le reste, je suis un acheteur nul) ;
– il faut encourager les sites de reconditionnement qui donne une deuxième vie aux objets ;
– il faut bien effacer les données avant de donner/vendre un ordinateur, une tablette ou un téléphone : vous risquez de tomber sur quelqu’un qui en fera mauvais usage ;
– j’admire les gens qui travaillent dans les SAV : ils sont patients et arrivent très souvent à trouver une solution. Une place leur est réservée au Paradis ;
– les vendeurs de PC avec licence piratée brûleront en Enfer pour l’éternité.

Le PC d’occasion – 3e partie

Le billet précédent se terminait ainsi :
Par contre, je trouve scandaleux que le matériel informatique d’une mairie puisse se retrouver dans la nature sans avoir fait l’objet d’un effacement consciencieux des données qu’il contient. Quelqu’un a commis une erreur, soit par incompétence, soit du fait de sa condition humaine, soit parce que l’ordinateur a été volé… Tout est possible.
Je décide donc de contacter l’ANSSI.

Pourquoi contacter l’ANSSI, quand il me suffit de contacter le service informatique de la mairie concernée ?

Et bien, il s’agit là d’une précaution élémentaire, qui est le fruit d’une longue série d’expériences douloureuses subies par d’autres. En effet, lorsque l’on prévient un organisme qu’il a un problème de sécurité, il arrive fréquemment que l’on se retrouve soi-même à faire partie du problème. Je ne compte plus les affaires où un simple particulier a été mis en cause par un organisme, et qui s’est retrouvé embarqué malgré lui dans des aventures qu’il n’imaginait pas devoir subir.

Et il se trouve que j’ai l’imagination très fertile en ce qui concerne les problèmes potentiels qui peuvent survenir. J’en ai même fait mon métier : je suis Expert en poliorcétique dans une grande école où mon quotidien est fait d’agressions informatiques permanentes et où je vis dans la crainte que l’une d’entre elles emporte tout sur son passage (et je SAIS que cela arrivera, malgré tous les PCA, PRA, parefeux, PSSI, SMSI, SIEM, comités sécurités, cellules de crise cyber, exercices, formations de sensibilisation, etc. que je peux mettre en place, cela ARRIVERA, et je dois dormir chaque nuit avec cette certitude…).

Bref, pas question de me retrouver sur le banc des accusés parce qu’un DGS a paniqué et m’a désigné comme contrefeu à la vindicte des membres de la magistrature… Je me souviens toujours de la tirade de Maître Eric Dupont-Moretti : “La justice, c’est une administration à laquelle on a donné le nom d’une vertu. Ça n’est rien d’autre que cela. Elle a les qualités et les défauts d’une administration. Moi, je ne voudrais pas avoir à faire à la justice.” Le fait qu’il soit devenu Garde des Sceaux ne me rassure pas plus que cela.

Pour le commun des mortels, le fait d’avoir été expert judiciaire pendant 21 ans me place dans la catégorie des personnes nécessairement protégées, faisant parti du système, intouchables… Qu’ils se rassurent, je peux prendre cher comme tout un chacun, et c’est justice (sans réserve).

Je décide donc de contacter l’ANSSI, parce que pour moi, ils représentent les Chevaliers défendant le faible contre les dangers de ce monde. Ils prononcent des vœux d’obéissance, de pauvreté et de chasteté, mais combattent efficacement les cyberinfidèles. Voici mon courriel :

Sujet du message : Faille de sécurité Mairie de [ville de la région
parisienne]

Bonjour,
J'ai acheté un ordinateur d'occasion sur internet sur le site
www.backmarket.fr
Pour ne pas faire de recel de données illégales, j'ai procédé à
l'analyse forensic de son disque dur (je suis expert judiciaire).
Celui-ci contient des données en rapport avec le service financier de
la mairie de [ville de la région parisienne] : documents pdf, word,
excel, et échanges d'emails internes et externes avec par exemple les
finances publiques. Vous trouverez en pièce joint l'un des emails que
j'ai pu récupérer.
Le détail de ma commande sur www.backmarket.fr :
[...]
J'ai extrait le disque dur du PC et je l'ai placé sous scellé. Pouvez-
vous me dire la suite que vous donnerez à ce message et ce que je dois
faire du disque dur ?
Bien à vous,
[Zythom]

Plein d’espoir et les yeux brillants d’émotion, j’ai ouvert la réponse de l’astreinte du CERT ANSSI :

Bonjour,
Nous vous remercions pour votre signalement que nous avons bien pris en
compte sous la référence RM#31415926.
Vous êtes-vous adressé à la mairie de [ville de la région parisienne],
pour connaître la marche à suivre dans ce genre de situation ? Car à
priori, c'est plus de son ressort que du nôtre.
Merci de nous tenir informé des actions entreprises.
Cordialement,

C’est peu de dire que j’étais très déçu…

Mais après quelques réflexions, je me suis souvenu que Alonso Quijano ne se serait pas découragé pour si peu, et j’ai donc repris ma plume électronique :

Bonjour,
Je suis surpris par votre demande : je n'ai aucun contact à la mairie
de [ville de région parisienne], et aucune chance d'être écouté en tant
que simple particulier.
Vous êtes par contre parfaitement qualifié pour leur signaler une
faille de sécurité et déclencher une enquête par les services
appropriés.
Merci de me tenir au courant des suites que vous aurez données à mon
signalement, et je vous précise que je souhaite bénéficier de la
protection de l'alinéa 2 de l'article L.2321-4 du code de la défense.
Bien à vous,
[Zythom]

Quelques temps plus tard, je recevais le message suivant :

Bonjour Monsieur,
Nous avons pris contact avec la Mairie et sommes en attente d'un
retour.
Nous vous tiendrons au courant des éléments vous concernant.
Merci encore pour votre signalement.
Bien cordialement,

VICTOIRE, et tel Amadis de Gaule prenant le nom de Chevalier de la Verde Espée, je suis debout sur mon bureau et fait tournoyer mon clavier en flattant la croupe de ma souris verticale (ce billet devient n’importe quoi). Las, j’avais omis un point que tout fidèle lecteur aura déjà relevé, en bon Sancho Panza, et que la dure réalité de ce monde cruel est venu me rappeler à travers l’email de l’ANSSI reçu un mois plus tard :

Bonjour,

Suite à votre signalement et conformément à l’article L. 2321-4 du code
de la défense, nous avons averti la mairie qui a pris très au sérieux
cet incident et souhaite récupérer ce disque dur.  Acceptez-vous de le
lui transmettre ?

Si oui, et dans le cas où vous souhaitez organiser le transfert
directement avec la mairie, nous pouvons vous fournir un contact.
Si vous souhaitez demeurer anonyme, nous pouvons servir de relais.

Pour votre information, votre anonymat sera conservé par l'ANSSI,
conformément à l'article L. 2321-4 du code de la défense, sauf à ce que
l'ANSSI soit contrainte de divulguer votre identité en cas de
réquisition judiciaire à la suite d'un dépôt de plainte de la mairie.

Cordialement,

En fait de dure réalité, c’est ma douce épouse qui m’a fait remarquer : “Ah parce qu’en plus, tu vas devoir payer pour leur envoyer un disque dur qui t’appartient ?”

“Non, mais ça me fait plaisir”, est la seule chose que j’ai trouvée à lui répondre…

J’ai donc placé le disque dur (mis sous scellé au tout début de cette aventure) dans un emballage robuste, et j’ai envoyé le tout à mes frais au secrétariat général de la défense et de la sécurité nationale.

En confiant mon précieux paquet au bon soin de La Poste, je lui ai fait un petit geste d’adieu définitif.

Il me reste à vous narrer les échanges avec le vendeur de Backmarket, et le service après-vente d’icelui. Cela fera l’objet d’un prochain billet. Stay tuned.

Le PC d’occasion – 2e partie

Le billet précédent se terminait ainsi :
Je contacte le vendeur, le SAV Backmarket, l’ANSSI, et la CNIL. La suite va vous étonner (billets à suivre). Ce cliffhanger de malade (explication en fin de billet 😉 )

Commençons par la CNIL.

Je contacte un agent de la Commission nationale de l’informatique et des libertés, “habilité, à raison de sa fonction, à effectuer les visites et vérifications mentionnées à l’article 19 de la loi du 6 janvier 1978 modifiée et à l’article L. 253-3 du code de la sécurité intérieure.” Ce sont des personnes motivées, impliquées dans leur mission de service public : la preuve, je la contacte et elle me répond presqu’immédiatement alors qu’elle est en vacances ! (oui, ces personnes existent, et plus souvent qu’on ne le pense 🙂

Zythom : Bonjour, je viens d'acheter un PC d'occasion reconditionné
et j'ai analysé le contenu effacé du disque dur (avec dd + photorec) :
il s'agit d'un ordinateur d'une mairie connue de la région parisienne.
Qui dois-je prévenir ?

Voici la réponse du super agent CNIL :

Super agent CNIL : Bonjour et merci du signalement. Je suppose que ce
disque dur mal effacé contient des données à caractère personnel,
pouvez-vous me dire de quel genre de données il s'agit ainsi qu'une
estimation du volume svp ? En fonction de la sensibilité et du nombre de
données nous pouvons agir différemment.

Alors, je suis un peu ennuyé car je viens à peine de commencer l’analyse, et a priori, je n’avais pas prévu de mener une enquête de plusieurs jours… Donc, je réponds avec ce que j’ai :

Zythom : C'est difficile à dire, car d'expérience, les logiciels de
récupération retrouvent beaucoup de fichiers. Tous ne sont pas
exploitables, et ici tous ne contiennent pas de données personnelles. A
ce stade de mon analyse inforensique :
517 fichiers *.doc
1238 fichiers *.pdf
225 fichiers *.xls
5084 fichiers *.jpg
Dans les fichiers pdf, il y a de tout : extrait de comptes publics,
factures, etc.

Ce à quoi il m’a répondu :

Super agent CNIL : Pour que la CNIL soit compétente sur le sujet, il
faut que des DCP aient fuitées. D'où mon intérêt d'avoir une idée un peu
plus précise de ce que l'on peut trouver dans ces fichier : si vous me
dites que c'était le HDD du pôle RH avec plein d'informations privées
sur les employés de la mairie, ce n'est pas la même chose que s'il
s'agit du HDD d'un PC dédié à la gestion des espaces verts.

Si vous trouvez des fichiers contenant des données à caractère
personnel, est que vous m'envoyez un email à XXX@cnil.fr en indiquant :
- un court résumé de la manière dont vous avez acquis la machine
(directement auprès de la mairie, revendeur spécialisé, internet, etc)
- le type de DCP que vous avez trouvé (nom, adresse, numéro de sécurité
social, mot de passe haché/en clair, etc)
- le nom de la mairie concernée

Dans tous les cas, ne joignez pas les fichiers contenant les données
mais conservez-les dans le cas où nous ayons besoin de faire des
constatations. Si nous devions avoir besoin des fichiers, nous vous
demanderons de nous les transférer via notre plateforme sécurisée
d'échange de fichier.
Merci de votre signalement.

J’ai donc poursuivi mes analyses, en ouvrant CHAQUE fichier pour voir s’il contenait des données à caractère personnel. A ma grande surprise, j’en ai trouvé très peu (mais j’ai le détail de tous les remboursements de frais de bouche du maire 😉 ) Donc, fidèle à mon principe “je ne vais pas emm… un organisme public déjà surchargé de dossiers beaucoup plus importants“, je n’ai pas donné suite à ce signalement, pour l’instant.

Par contre, je trouve scandaleux que le matériel informatique d’une mairie puisse se retrouver dans la nature sans avoir fait l’objet d’un effacement consciencieux des données qu’il contient. Quelqu’un a commis une erreur, soit par incompétence, soit du fait de sa condition humaine, soit parce que l’ordinateur a été volé… Tout est possible.

Je décide donc de contacter l’ANSSI.

————————————————————————————————–
Il vous reste 90% de l’article à lire
La suite est réservée aux abonnés.
————————————————————————————————–

Aha, en vrai, la suite dans le prochain billet. Le temps ici est celui des échanges épistolaires d’antan 😉


Le PC d’occasion

J’ai besoin de faire des calculs intensifs, dans le cadre de mon apprentissage de Tensorflow, et de temps en temps pour casser du mot de passe.

J’ai donc une machine dédiée à cela. Mais elle date de 2005, à une période où les cartes mère basculaient vers des bus PCIe, et la magnifique carte graphique GTX 1060 récupérée sur le PC de mon gamer de fils n’était pas bien reconnue, malgré mes montages, disons, hasardeux, à base de ventilateur sur pied pour le refroidissement et d’alimentation ajoutée (avec la fameuse “astuce” du trombone, svp ne le faites pas).

Bref, il me fallait envisager d’investir dans un nouveau PC de calculs.

Seulement voilà, je ne voulais pas mettre trop cher dans la configuration, sachant que j’avais déjà la carte graphique et que la puissance d’icelle me convenait parfaitement. Mon cahier des charges était le suivant :
– une carte mère pouvant accueillir une carte graphique Nvidia
– 8 Go de RAM
– c’est tout

Je me tourne alors vers Internet (c’est une figure de style, je suis toujours face à mes écrans) et je découvre le monde merveilleux des ordinateurs d’occasion : entre les personnes qui pensent pourvoir vendre leur PC au même prix qu’elles l’ont acheté, voire plus, et celles qui vous dirigent vers un site russe entre pilules bleues revigorantes et promos sur les masques FFP2 (je navigue sur les sites que je veux) bloqué par mes Pi Hole / uBlock Origin / AdGuard-en-test…

Et puisqu’il faut bien parfois traverser la rue, je me lance, et je passe commande sur le site français www.backmarket.fr sur lequel j’avais débusqué un Dell Optiplex 3020 MT Core i3 3.4 GHz – HDD 500 Go RAM 8 Go, qui me faisait les yeux doux à 130 euros TTC (!) livraison incluse et garantie d’un an \o/

Matériel réceptionné trois jours après. Jusqu’ici tout va bien.

Je déballe le tout, je branche, j’allume pour voir si tout va bien: nickel ! J’éteins, je débranche, je décharge l’électricité statique de mon gros pull, j’ouvre la bête, je vire le disque dur, la carte wifi bizarre, je place un disque SDD de mon stock, la carte graphique surpuissante, une vieille alim ATX de mon stock (avec son trombone, de mon stock aussi), je branche écran/clavier/souris/câble réseau de mon stock, une clé USB (on peut écrire clef USB ?) pour installer une Debian, les drivers Nvidia, CUDA, etcétéra.

J’ai une nouvelle machine de calculs \o/

Mais pendant que cette nouvelle venue chauffait mon bric-à-brac bureau en faisant des milliards d’opérations, le disque dur de 500Go extrait du PC d’occasion me faisait de l’œil… Et si ?

Et si ce disque dur pouvait me raconter son histoire ? Ni une, ni deux, je le branche sur mon PC et procède à sa copie bit à bit (cf ce billet de 2014, ou celui-ci de 2008), puis je commence son analyse.

Nam et ipsa scienta potestas est, écrivait le philosophe Francis Bacon, dans “De haeresibus” en 1597 (pas lu, mais j’aime les citations latines <3, j’ai fait latin jusqu’en terminale, option au Bac, zéro point gagné).

Dans les données en clair, je récupère la clef de licence Windows 10 (j’aime bien écrire clef-avec-un-f). Ne voulant pas être receleur à l’insu de mon plein gré, j’appelle le support Microsoft (oui, oui). Après trois personnes ne comprenant pas trop mon appel, je tombe sur une charmante dame certainement PFE+++ (Premier Field Engineer) chez Microsoft, qui après diverses vérifications techniques, m’informe que la clef de licence correspond à une clef bloquée chez eux pour avoir été trop souvent activée. “Vous avez une clef PIRATÉE”, me dit-elle…

Je détruis mon téléphone jetable, coupe la liaison satellitaire chiffrée, reboote mon nœud Tor, m’essuie le front avec mon vieux T-Shirt SSTIC 2012 sous le regard désapprobateur d’Edward Snowden dont le livre usé est face à moi…

On m’a vendu un PC avec une licence Windows piratée…

Je pousse plus loin mes investigations, cette fois en regardant les données (mal) effacées du disque dur. Celui-ci a été reformaté rapidement : toutes les données antérieurement présentes sont toujours là, à attendre que je les récupère. Une vie complète d’ordinateur se déroule devant moi, comme au plus fort des expertises judiciaires que j’ai menées : emails, rapports, fichiers Excel, notes de frais…

On m’a vendu le PC d’un employé de la mairie d’une grande ville de la région parisienne…

Je contacte le vendeur, le SAV Backmarket, l’ANSSI, et la CNIL. La suite va vous étonner (billet suivant).

Savoir s’arrêter : la réponse

Pour faire suite au billet de janvier 2020 “Savoir s’arrêter : le courrier‘, voici le courrier de la Cour d’Appel de mon ressort judiciaire que j’ai reçu fin novembre 2020 :

Monsieur,

J’ai l’honneur de vous notifier, en application des dispositions de la loi du 29 juin 1971 modifiée par la loi du 11 février 2004 et du décret du 23 décembre 2004 modifié relatifs aux experts judiciaires que l’assemblée générale de la cour d’appel de [Tandaloor] réunie le 13 novembre 2020, a constaté votre souhait de ne pas renouveler votre inscription et procédé à la suppression de celle-ci sur la liste des experts judiciaires établie pour l’année 2021.

Les décisions prises pour l’établissement des listes d’experts ne peuvent donner lieu qu’à un recours devant la Cour de cassation en application de l’article 20 du décret n°2004-1463 modifié.

Ce recours doit être formé dans un délai d’un mois, à compter de la présente notification par déclaration au greffe de la cour de cassation ou par lettre recommandée avec demande d’avis de réception adressée au greffe de la cour de cassation.

Je vous prie d’agréer, Monsieur, l’expression de mes salutations distinguées.

P/Le procureur général
Mme [Gowachin]
Substitut Général

Comme mon courrier de décembre 2019 n’a pu être pris en compte qu’en novembre 2020, à partir de ce soir, officiellement, je ne suis donc plus expert judiciaire. Je suis fier d’avoir apporté mon concours à la Justice, accompli mes missions, fait mes rapports,
et donné mon avis en mon honneur et en ma conscience. Je l’ai fait en toute indépendance, de mon mieux et en gardant ma liberté de parole et d’esprit.

Je laisse la place à plus jeunes et plus compétents que moi.

Mais je continuerai à m’exprimer ici, sur tous les sujets, y compris sur ceux de l’expertise judiciaire, n’en déplaise aux vieux cons.

Je profite de ce billet du 31 décembre pour vous souhaiter à tous de bonnes fêtes et, avec quelques heures d’avance, une bonne année 2021.

Malgré tout.