Allo, bonjour Monsieur l’expert, Maître McKie à l’appareil. Je vous appelle pour une expertise privée.
Bonjour Maître. Vous savez que je ne suis plus inscrit sur la liste des experts judiciaires ?
Oui, oui, mais vous m’avez été chaudement recommandé par un confrère avec qui vous avez travaillé et qui m’a dit beaucoup de bien de vous…
Mmmm, pouvez-vous m’en dire plus sur cette mission que vous souhaitez me confier ?
Alors, je pense que c’est assez simple pour un homme de l’art, mais c’est un peu du chinois pour moi au niveau technique : mon client est poursuivi pour téléchargement illégal. Ses ordinateurs ont été saisis et les enquêteurs ont trouvé des traces dessus. Mais il conteste le fait que ce soit lui qui les ait téléchargés, ni quiconque de son entourage familial.
Mmmm, pourriez-vous préciser le type de téléchargement illégal ?
Mon client est poursuivi pour téléchargement de films et photographies pédopornographiques.
Vous voulez que je disculpe un pédophile ?
Un homme accusé de pédophilie, Monsieur l’expert, mais présumé innocent.
Pendant des années, je suis intervenu comme expert judiciaire dans des dossiers de recherche de films et d’images pédopornographiques. J’en ai trié des milliers, des dizaines de milliers, des centaines de milliers. Je pleurais la nuit devant mon ordinateur en classant les images et les films par âge des victimes, en les cataloguant par thème, par pose, par acte… Mais j’étais désigné par un magistrat pour une mission précise : cet ordinateur contient-il des films ou des images pédopornographiques ? Si oui, les extraire sur un support de stockage.
Le magistrat m’autorisait à accéder au scellé, et me fournissait les quelques pièces du dossier nécessaires à mes investigations. Je faisais un travail scientifique d’investigation le plus précis possible sachant que la vie d’autres personnes pouvait en dépendre. Mais une fois mon rapport déposé, le scellé reconstitué et rendu, je n’avais plus affaire à la justice, ni accès au dossier, ni même des informations sur les suites données à mon travail.
Dans le cas d’une expertise privée, la situation est très différente : je travaille au côté d’un avocat, j’ai accès à tout le dossier auquel il a accès, et je rencontre et je discute avec son client.
Disculper un pédophile, jamais.
Un homme accusé de pédophilie, mais présumé innocent.
Je me souviens alors de ce que m’a dit un jour mon épouse, Avocate : tout être humain a droit à une juste peine. Pour cela, il doit être défendu devant ses juges par un avocat qui va présenter la part d’humanité qui existe en chacun de nous, même chez le pire criminel.
J’accepte d’examiner le dossier. Les enquêteurs présentent des faits, ici la présence avérée d’images et de films pédopornographiques sur un ordinateur, mais comme souvent, ils omettent d’explorer toutes les pistes pouvant expliquer ces faits. C’est alors à l’avocat, et son expert technique, de se lancer dans cette recherche.
Les faits sont simples : un ordinateur contient des images et des films pédopornographiques, effacés mais dont les traces persistent sur le disque dur et sont reconstituables. Le dossier contient beaucoup d’images…
Je retrouve des images que je connais bien pour y avoir été confronté lors de mes trop nombreuses expertises sur ce sujet. J’y croise le regard triste et le sourire forcé de la petite fille que j’ai appelé Yéléna. J’en parle à Me McKie qui m’avoue ne pas avoir voulu regarder les images jointes au dossier. J’ai l’impression d’avoir perdu une part de mon humanité en m’étant endurci et insensibilisé.
Mais je constate aussi que beaucoup de personnes avaient accès à l’ordinateur, dont beaucoup trop de monde externe à la cellule familiale. Je constate que le mot de passe du compte utilisé au démarrage de l’ordinateur était connu de tous, facile à trouver ou à pirater. Je constate que les données incriminées ont été transférées vers une clé USB qui n’a pas été retrouvée. Enfin, je constate qu’UNE incohérence apparaît dans les listings de bornage du téléphone mobile du présumé innocent, qui prouve que les choses se passaient dans son dos : il est innocent.
Il a été relaxé.
Me McKie m’a raconté qu’une fois dans une affaire de drogue où son client contestait fermement sa participation au trafic, et où il avait plaidé la relaxe, convaincu de son innocence, le client était venu (libre) le remercier à la sortie du tribunal, et lui avait dit “vous savez Maître, je ne recommencerai plus“.
Je ne suis pas fait pour ce métier.
Yénéla à 20 ans (création Zythom avec l’IA Midjourney)
Il y a quatre ans, j’ai fait un pari relativement osé : changer d’orientation professionnelle et quitter mon foyer pour aller travailler à Paris la moitié de la semaine. Chaque dimanche soir, je quitte l’amour de ma vie pour prendre un train qui m’amène dans la capitale, et chaque mercredi ou jeudi soir, je fais le chemin inverse. J’ai pris une “coquette studette” près de mon travail pour pouvoir m’y rendre à pied tous les jours, et j’y mène une vie de moine nerd. Cela a été facilité par le départ des enfants du nid familial, et parce que la femme qui partage mon existence voyait que je dépérissais dans mon ancienne entreprise où j’avais pourtant passé 25 ans, que nous nous aimons et qu’elle a soutenu ma démarche.
Dans le billet sur le télétravail que j’ai écris avant le confinement, je n’ai pas abordé l’impact qu’il peut avoir sur un couple. En effet, aujourd’hui, “télétravail” signifie pour des millions de personnes travailler depuis son domicile familial sans faire le trajet quotidien habituel. Il n’y a pas de terme pour la personne qui alterne télétravail et “télémaison”, c’est-à-dire qui alterne travail à distance de son entreprise (en famille) pendant plusieurs jours, et vie à distance de sa famille (en entreprise) pendant plusieurs jours.
Attention, je ne me plains pas, car il s’agit d’un choix personnel, d’un choix de couple, mais avant tout d’un choix. Je ne me compare pas aux travailleurs qui vivent loin de leur famille pendant plusieurs mois, voire plusieurs années, souvent dans un pays étranger. En général, ils n’ont pas le choix, c’est une question de survie. Je les plains, eux, car ils ne voient pas grandir leurs enfants, ils ne vieillissent pas auprès de leur conjoint, et sont souvent honteusement exploités. Ce n’est pas mon cas.
Mon épouse et moi, nous vivons des vies de célibataires pendant 3 jours, et nous sommes heureux de nous retrouver et de passer 4 jours ensemble, chaque semaine. Une nouvelle jeunesse, un nouveau pari.
Trois années et demi se sont passées sur ce rythme de vie. Professionnellement, j’étais heureux d’apprendre à nouveau beaucoup de choses, dans une école de commerce prestigieuse. Mais, avec 4 chefs en 3 ans, il ne m’était pas facile de construire quelque chose dans la durée, la politique salariale de l’entreprise était nulle (0% d’augmentation pour le personnel en 3 ans) et la valse des DSI n’aidait pas à la négociation.
C’est alors que s’est produite une chose dont j’avais entendu parler, le soir dans les recoins de l’openspace, lorsqu’on évoque les mystères de la vie et les mythes des évolutions de carrière : j’ai été appelé par un chasseur de têtes.
UN CHASSEUR DE TÊTES
Rien que le nom évoque une aventure épique dans la forêt tropicale…
Le processus de recrutement qui s’en est suivi mériterait un billet à lui tout seul…
Il m’a fait une offre que je ne pouvais pas refuser. J’ai donc présenté ma démission au dernier DSI que j’ai eu comme chef, j’ai quitté cette école de commerce prestigieuse pour un groupe d’écoles privées moins prestigieuses, j’ai changé de coquette studette en proche banlieue pour une coquette studette dans Paris intra-muros. J’y mène maintenant une vie de moine nerd 4 jours par semaine.
Le nouveau travail est plus difficile, plus exigeant, avec plus de pression. Je suis toujours en période d’essai, avec un chef dont je ne sais pas s’il va vouloir me garder.
A 59 ans. Un nouveau pari. Un nouveau Paris. Le Paris de mes rêves.
Un monde nouveau, on en rêvait tous Mais que savions-nous faire de nos mains ? Zéro, attraper le Bluetooth Mais que savions-nous faire de nos mains ? Presque rien, presque rien
Les récents billets de Maître Eolas sur son blog ont suscité un afflux important de visiteurs sur ce blog, et je les accueille avec plaisir, comme “au bon vieux temps des blogs” quand un blogueur influent malicieux mettait un lien vers un autre blog pour tester sa résistance aux attaques DDoS ^^
Pour tous ceux qui m’ont sollicité par email, je vais faire une réponse groupée à vos questions dans ce billet :
Pour éviter toutes les demandes un peu farfelues, je n’accepte que les expertises privées demandées par l’intermédiaire d’un avocat (et contacté par lui).
Je fais très peu d’expertises, car j’ai un vrai métier qui me prend à plein temps, 24/7 y compris pendant les vacances. Autant dire que votre dossier a peu de chance d’être accepté…
Oui, une expertise coûte cher, n’est pas remboursée et rarement prise en charge par les assurances à 100%. Mais je travaille parfois pro bono, si votre client n’est pas riche (dossier à l’AJ) ET que le dossier est intéressant techniquement.
Enfin, je n’ai pas de spécialité informatique particulière (cela n’existait pas en 1999 lors de ma prestation de serment comme “expert informatique”), mais j’ai une appétence pour les analyses critiques de rapports d’expertise judiciaire informatique (exégèse scientifique). Je n’ai pas mon pareil pour déceler un mauvais expert judiciaire pontifiant (heureusement, il y en a très peu ^^).
Ah oui, je suis plutôt mauvais à l’oral à la barre, car j’ai une trouille bleue dès que je suis dans un tribunal. Très bon à l’écrit, très mauvais à l’oral (sauf dans un amphi). Vous êtes prévenu (enfin “averti”).
Toutes les informations pour me contacter sont dans ma page contact.
Sinon, vous pouvez simplement ajouter ce blog dans vos flux RSS ou vos marques-pages, et venir me lire de temps en temps, voire, soyons fou, poster un commentaire agréable…
Voici le message que je viens d’adresser à mes utilisateurs. Si cela peut être utile à l’un de mes lecteurs, ou à ses utilisateurs…
++++ English version below
Bonjour,
Les pirates ne prennent pas de vacances, mais vous oui (enfin j’espère). Voici quelques consignes qui devraient vous permettre de partir en toute sécurité informatique :
L’emploi de smartphones, d’ordinateurs portables et de tablettes facilite et accélère le transport et l’échange de données. Parmi les informations stockées sur ces supports, certaines peuvent présenter une sensibilité importante, tant pour vous-mêmes que pour [l’entreprise]. Leur perte, leur saisie ou leur vol peut avoir des conséquences majeures sur vos activités et sur leur pérennité. Il vous faut donc, dans ce contexte de nomadisme, les protéger face aux risques et aux menaces qui pèsent sur elles, tout particulièrement lors de vos déplacements à l’étranger.
Sachez que les cybercafés, les hôtels, les lieux publics et les bureaux de passage n’offrent aucune garantie de confidentialité. Dans de nombreux pays étrangers, quel que soit leur régime politique, les centres d’affaires et les réseaux téléphoniques sont surveillés. Dans certains pays, les chambres d’hôtel peuvent être fouillées sans que vous vous en rendiez compte. Ces menaces ne sont pas inspirées de romans policiers ou d’un film d’espionnage, mais attestées régulièrement par l’actualité.
Vos appareils ne doivent contenir aucune information autre que celles dont vous avez besoin pour votre voyage. Y compris des photos, vidéos, ou des œuvres numériques qui pourraient vous placer en difficulté vis-à-vis de la législation ou des mœurs du pays visité.
Sauvegardez les données que vous emportez et laissez la sauvegarde en lieu sûr. Vous récupérerez ainsi vos informations à votre retour en cas de perte, de vol ou de saisie de vos équipements.
Évitez de partir avec des données sensibles. Privilégiez, si possible, la récupération de fichiers chiffrés sur votre lieu de mission en accédant au réseau de [l’entreprise] avec une liaison sécurisée (VPN de [l’entreprise]), sinon à une boîte de messagerie en ligne spécialement créée et dédiée au transfert de données chiffrées. Il faut supprimer les informations de cette boîte après lecture.
Utilisez un filtre de protection écran pour votre ordinateur. Cela vous permettra de travailler à vos dossiers pendant vos trajets sans que des curieux puissent lire ou photographier vos documents par-dessus votre épaule.
Marquez vos appareils d’un signe distinctif (comme une pastille de couleur). Cela vous permet de surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport. Pensez à mettre un signe également sur la housse.
Pendant le voyage
Gardez vos appareils, support et fichiers avec vous. Prenez-les en cabine lors de votre voyage. Ne les laissez jamais dans un bureau ou dans la chambre d’hôtel (même dans un coffre). Protégez l’accès de vos appareils par des mots de passe forts. Ne communiquez pas d’information confidentielle en clair par téléphone ou tout autre moyen de transmission de la voix (services de VoIP comme Teams).
En cas d’inspection ou de saisie par les autorités, informez immédiatement [l’entreprise].
Fournissez les mots de passe et clés de chiffrement si vous y êtes contraint par les autorités locales puis alertez le support informatique de [l’entreprise].
En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement le support informatique de [l’entreprise]. Demandez conseil au consulat avant toute démarche auprès des autorités locales.
N’utilisez pas les équipements qui vous sont offerts (clés USB) ou que vous trouvez abandonnés. Ils peuvent contenir des logiciels malveillants. Les clés USB, de par leurs multiples vulnérabilités, sont un vecteur d’infection privilégié par des attaquants. Ne connectez pas vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance. Attention aux échanges de documents (par exemple : par clé USB lors de présentations commerciales ou lors de colloques). Emportez une clé destinée à ces échanges et jetez-la après usage.
Ne rechargez pas vos équipements sur les bornes USB libre-service. Certaines de ces bornes peuvent avoir été conçues pour copier les documents à votre insu. Privilégiez les prises électriques avec un adaptateur ad hoc.
A votre retour de voyage
En cas de doute, analysez ou faites analyser vos équipements. Ne connectez pas les appareils à votre réseau avant d’avoir fait ou fait faire au minimum un test anti-virus et anti-malwares.
Je vous souhaite de passer de bonnes vacances en toute sécurité informatique.
++++ English version
Hello,
Hackers don’t take vacations, but you do (I hope so). Here are a few instructions that should help you to travel in complete computer security:
The use of smartphones, laptops and tablets makes it easier and faster to transport and exchange data. Some of the information stored on these media may be highly sensitive, both for you and for [the enterprise]. Their loss, seizure or theft can have major consequences on your activities and on their sustainability. In this context of nomadism, you must therefore protect them from the risks and threats they face, especially when travelling abroad.
Please be aware that cybercafés, hotels, public places and temporary residence do not offer any guarantee of confidentiality. In many foreign countries, regardless of their political regime, business centres and telephone networks are monitored. In some countries, hotel rooms can be searched without your knowledge. These threats are not based on detective stories or a spy movie, but are regularly documented by current events.
Your devices must not contain any information other than the information you need for your trip. Including photos, videos, or digital artworks that could put you in difficulty with the legislation or morals of the country visited.
Back up the data you are carrying and leave the backup in a safe place. You will then recover your information upon your return in the event of loss, theft or seizure of your equipment.
Avoid leaving with sensitive data. If possible, you should prefer to recover encrypted files at your place of assignment by accessing the [enterprise] network with a secure connection ([enterprise] VPN), otherwise an online mailbox specially created and dedicated to the transfer of encrypted data. The information in this box must be deleted after reading.
Use a screen protection filter for your computer. This will allow you to work on your files during your travels without curious people being able to read or photograph your documents over your shoulder.
Mark your devices with a distinctive sign (such as a color sticker). This allows you to monitor your equipment and ensure that there has been no exchange, especially during transport. Remember to put a sign on the cover as well.
During the trip
Keep your devices, media and files with you. Take them in the cabin when you travel. Never leave them in an office or hotel room (even in a safe). Protect access to your devices with strong passwords. Do not communicate confidential information in plain text by telephone or any other means of voice transmission (VoIP services such as Teams).
In the event of inspection or seizure by the authorities, inform [the enterprise] immediately.
Provide passwords and encryption keys if required by local authorities and then alert [enterprise] IT support.
In the event of loss or theft of equipment or information, immediately inform [enterprise] IT support. Ask your consulate for advice before approaching local authorities.
Do not use the equipment offered to you (USB keys) or that you find abandoned. They may contain malicious software. USB keys, due to their multiple vulnerabilities, are a preferred infection vector for attackers. Do not connect your equipment to workstations or computer peripherals that are not trusted. Beware of document exchanges (for example: by USB key during commercial presentations or during conferences). Carry a key for these exchanges and discard it after use.
Do not charge your equipment at self-service USB terminals. Some of these terminals may have been designed to copy documents without your consent. Use electrical outlets with an appropriate adapter.
On your return from your trip
If in doubt, test or have your equipment tested. Do not connect devices to your network until you have performed or had performed at least one anti-virus and anti-malware test.
I wish you a pleasant holiday, in complete IT security.
Yours sincerely, Bien à vous, Zythom
Le blog va prendre quelques semaines de vacances. A bientôt
Pas de service informatique à proprement parler dans cette PME, mais un responsable informatique qui pilote un prestataire. La fonction support est donc externalisée, comme c’est malheureusement trop souvent le cas quand un consultant vient se mêler des relations humaines.
Le chef d’entreprise m’accueille un peu surpris : “je croyais que la réunion était prévue à 9h”. Je lui explique que j’arrive toujours en avance pour être sur que les conditions d’accueil de la réunion d’expertise sont optimales. Il opine du chef, étant lui-même fort en avance.
Nous échangeons quelques banalités, puis il me dit : “sale affaire quand même”. Je le rassure en lui disant qu’il n’y a pas de raison pour qu’on n’avance pas sur le sujet, même si je n’en sais rien moi-même…
L’entreprise s’est faite dérober 40 000 euros le mois précédent et personne ne comprend comment cela a pu se produire. Plusieurs personnes sont suspectées, la police est en train d’enquêter. Mais le chef d’entreprise est inquiet et voudrait que les choses avancent BEAUCOUP plus vite, car la police n’a pas vraiment encore commencé son enquête. Son avocat lui a conseillé de faire appel à un expert judiciaire pour une mission privée. Son directeur financier m’a contacté et me voilà sur site pour démêler la pelote. Je ne suis pas sur d’y arriver, mais j’ai proposé d’essayer.
L’heure de la réunion est arrivée. Le comité de direction est au complet, je pourrais dire au garde à vous. Ma discussion informelle avec le chef d’entreprise m’a permis de cerner un peu le profil du personnage : autoritaire, exigeant avec lui-même et avec les autres, ne laissant pas ou peu la place aux doutes ou aux hésitations, intelligent mais avec des idées bien arrêtées.
Je regarde les personnes assises autour de la table. Je remarque une certain tension dans l’air. Personne ne parle, tout le monde attend que le patron prenne la parole. Celui-ci laisse une dizaine de secondes de silence s’écouler, puis introduit rapidement le sujet et me passe la main. Je me présente, puis je demande aux personnes autour de la table de se présenter, tout en prenant le temps de noter leurs prénom, nom et fonction. Cela pose la réunion dans un rite qui ne leur est pas habituel.
Puis le directeur financier m’explique qu’une facture de 40 000 euros a été payée à un fournisseur, mais à la mauvaise banque. Ce qui fait que le fournisseur réclame toujours le paiement de sa facture. Classique. J’évoque une arnaque au président ou une usurpation d’identité. Plusieurs personnes hochent la tête. Je me fais remettre des impressions des échanges, j’écoute les explications et les interrogations. Je vois bien que tout le monde a sorti le parapluie et que le chef d’entreprise cherche le coupable de cette catastrophe. Le directeur financier me vante les mérites de ses procédures à double vérification, le responsable informatique me vante les mérites de la sécurité de son parc informatique, de ses serveurs infonuagiques et de ses parefeux “gérés par le meilleur prestataire qui soit”… Bref, l’entreprise est sure, impossible de se faire piéger. Et pourtant…
A la pause de 10h30, je propose discrètement au chef d’entreprise de me laisser gérer la réunion “qui va prendre un tournant très technique ennuyeux” et lui suggère subliminalement de prendre la décision de quitter la salle pour aller gérer des choses plus importantes, ce qu’il fait d’assez bonne grâce (étant bien clair que c’est lui qui a pris cette décision). A la reprise de la réunion, j’annonce aux personnes présentes que compte tenu de la tournure technique que va prendre la suite des opérations, je souhaite ne pas leur faire perdre leur temps et les recevrait individuellement en tête à tête sur des créneaux d’une heure. Tout le monde a l’air un peu plus à l’aise
Je commence à lancer mes filets à grosses mailles.
Je reste seul avec le responsable informatique. Je lui demande de me fournir les impressions des emails avec leurs entêtes complètes. Je lui demande de convoquer le responsable technique du prestataire informatique immédiatement pour une réunion d’une heure dans l’après-midi. Je veux l’accès à tous les logs des équipements : postes de travail, routeurs réseaux, serveurs, téléphonies, parefeux, etc. Il est plus à l’aise qu’en présence de son chef d’entreprise et voit en moi l’un de ses pairs.
Je vois ensuite le responsable administratif et financiers. Je lui pose des questions sur le fonctionnement de son équipe, sur qui fait quoi. Il se lance dans une explication détaillée des subtilités de son art. Je l’arrête rapidement en lui disant que je suis nul en comptabilité/finance et que je souhaite voir rapidement en tête à tête la personne qui a mené les opérations de changement des informations bancaires. Il est un peu dépité, résiste au fait que je sois seul avec son collaborateur. Mais je suis intraitable.
Le responsable informatique revient avec une pile de feuilles d’impression contenant tous les emails échangés. Il reste avec moi pour m’aider à en prendre connaissance et à écrire sur le grand tableau blanc la ligne de temps des échanges, façon FBI. J’ai vu ça dans les séries et c’est vrai que c’est une bonne idée (sauf que c’est difficile à afficher proprement). Je repère un problème dans les entêtes des emails.
Une personne passe la tête par la porte et m’informe être en charge de la facturation. Je change de table en laissant le tas de papier en vrac, demande à l’informaticien de sortir et reçoit les confidences du comptable. “Vous savez, c’est dur de travailler ici. tout le monde est chef, mais nous sommes peu nombreux à faire, vous comprenez ?”. Je comprends. Je lui explique que je suis moi-même un peu chef, et donc très ignorant de son travail et que s’il pouvait me l’expliquer en termes simples. Il sourit et me détaille son activité. Je lui demande s’il se souvient d’une intervention particulière du service informatique dans le mois qui précède, il réfléchit et me signale une intervention assez longue sur son poste par le service informatique. Intrigué, je demande des détails : “Oh, j’avais des soucis avec Excel, et le service support de Microsoft m’a contacté par téléphone et m’a aidé à les régler.”
Le responsable technique du prestataire informatique arrive en retard sur son créneau horaire, mais avec tous les accès techniques. “Nous avons un puits de logs, vous savez”.
J’ai une idée en tête, je vais pouvoir lancer mes filets à petites mailles.
Deux heures plus tard, je crois avoir la solution. Je convoque à nouveau le comptable, mais en présence de l’informaticien et du responsable technique du prestataire. Je lui demande de nous détailler l’intervention du support informatique Microsoft. Et avant que les deux chefs ne réagissent, je leur demande d’écouter attentivement et de laisser parler le sachant.
“Alors voilà, j’ai reçu un coup de téléphone du support Microsoft pour le problème d’Excel que j’avais signalé, et nous avons passé une heure au téléphone. Ils m’ont fait installer un logiciel sur son poste pour pouvoir intervenir à distance, et ils ont fait plein de trucs pour me dépanner”. Je vois la mine déconfite du responsable informatique, mais avant qu’il n’intervienne, je dis de ma voix la plus douce possible “mais avez-vous imaginé que la personne au téléphone puisse ne pas appartenir au support Microsoft ?”. Et là, j’ai vu le visage du comptable se décomposer : “vous voulez dire que c’est moi qui ait donné accès à un pirate à mon ordinateur ?”
Trust – Antisocial – blague de vieux geek
Dans ce dossier, un pirate s’est fait passer pour le service support de Microsoft auprès d’un employé et a pu installer un logiciel de prise de contrôle à distance, sans éveiller de soupçons ni d’alerte, parce que la politique de sécurité informatique de l’entreprise n’interdisait pas l’utilisation de ce type de logiciel et par manque de sensibilisation du personnel (et des chefs) à la sécurité informatique. Le pirate a eu tout loisir d’accéder à l’ordinateur, d’analyser les échanges, les procédures et les habitudes. Quand j’ai regardé les entêtes des emails, j’ai remarqué le changement de domaine au moment où le pirate a expliqué le changement de banque et a adressé une facture parfaitement conforme à celle de l’année précédente (mais avec une nouvelle banque). Les outils de messagerie n’affichant pas l’adresse réelle de l’expéditeur, et de toutes façons celle utilisée par le pirate étant très proche de l’adresse de l’utilisateur légitime, le comptable ne s’est pas méfié (pas plus que les différentes personnes en copie des échanges). La procédure de double vérification consistait en des échanges emails “OK” complètement inefficients. Le terrain était prêt pour la catastrophe. Nous avons vérifié, la dernière utilisation du logiciel de contrôle à distance (toujours installé) remontait à la date de paiement de la facture.
J’ai passé plus de temps à expliquer au chef d’entreprise que le comptable était une victime (qu’il fallait défendre) qu’à lui présenter la méthode utilisée par le pirate.
J’ai eu la satisfaction d’apprendre par la suite que tout le monde s’était fait remonter les bretelles, mais que le comptable était toujours en poste. Sans doute le patron a-t-il eu la lucidité de comprendre qu’il n’avait pas tant de sachants que cela dans l’entreprise.
Je suis souvent contacté par des nouveaux experts judiciaires (sans doute grâce au référencement de ce blog) qui veulent avoir quelques conseils sur “comment ça se passe ensuite”.
Conseil n°1 : Inscrivez-vous à la compagnie pluridisciplinaire de votre cour d’appel. Il y a de forte chance que vous rencontriez le président de cette compagnie, ou un représentant (quel joli mot), lors de votre prestation de serment. Inscrivez-vous pour au moins la raison suivante : votre adhésion inclut une assurance en responsabilité civile INDISPENSABLE à la réalisation de vos missions d’expertise (et vous ne trouverez pas moins cher tout seul de votre côté). Attention : certaines de vos missions peuvent avoir des enjeux financiers très importants, et au moindre faux pas de votre part, sans assurance… BOOM !
Conseil n°2 : Vous n’aurez aucun ami dans la tempête. Vous allez vous trouver au milieu d’une guerre procédurale, souvent avec de forts enjeux. Lors des réunions contradictoires, les parties vont s’écharper, et vous feront les yeux doux si elles sentent que votre avis leur sera favorable, mais montreront les dents dans le cas contraire. Or, cela ne doit pas influencer votre avis, sans pour autant vous obliger à un avis tiède qui tente de ménager tout le monde. Mais l’expert n’est pas tout puissant : vous devrez expliquer votre avis, et répondre aux dires d’avocats. Si la situation s’envenime, ne comptez sur personne pour vous défendre : vous serez seul dans cette tempête. Ni le magistrat qui vous a missionné, ni le greffe du tribunal, ni votre compagnie pluridisciplinaire, ni vos confrères experts ne vous aideront (peut-être parfois une parole d’encouragement, ou un regard de compassion). Relisez ce billet si vous n’êtes pas convaincu.
Conseil n°3 : Évitez les comportements à risque. Madame Marie-Claude MARTIN, quand elle était vice-présidente du TGI de Paris, écrivait sur les experts judiciaires :
[…] plusieurs comportements sont susceptibles d’être observés : – L’expert sans problème : Je lis la mission, elle rentre parfaitement dans mes attributions, je l’accepte. – L’expert aventureux, ou téméraire, ou intéressé : La mission ne paraît pas relever de ma compétence, mais elle m’intéresse ; je prendrai un sapiteur ultérieurement […] – L’expert optimiste qui dit toujours oui : Je suis surchargé, je prends quand même cette mission, je me ferai aider au besoin par l’équipe qui m’entoure […]. – L’expert stressé qui ne sait pas dire non : Je suis surchargé, mais si je dis non, je ne serai plus désigné et je vais rapidement me trouver sans mission.
Soyez l’expert sans problème…
Conseil n°4 : Travaillez le Droit ou mariez vous avec un(e) avocat(e). Ne croyez pas qu’une formation de quelques semaines va faire de vous un spécialiste du Droit. De la même manière qu’il vous a fallu des années de formation puis de pratique pour établir votre propre compétence, connaître par cœur les articles 263 à 284-1 du code de procédure civile, et les articles 156 à 169-1 du code de procédure pénale, ne fera pas de vous un professionnel de ces questions. Essayer de maîtriser tous les aspects des procédures expertales, c’est bien, mais ne vous faites pas embarquer par plus fort que vous sur les questions de droit. Ce n’est pas ce qui vous est demandé, mais c’est le piège dans lequel rêvent de vous faire tomber tous les avocats quand vous allez les chercher sur leur terrain.
Conseil n°5 : Ne prenez pas les avocats pour des ignorants techniques de votre domaine. Pour faire court, j’ai croisé des avocats qui en savent plus que moi sur l’informatique en général ou sur la sécurité informatique en particulier. Je peux en citer quelques uns : Maître Alexandre Archambault, Maître Eolas, Maître Alain Bensoussan, Maître Olivier Itéanu, et bien d’autres. L’attitude minimale à prendre avec eux est celle de l’écoute active et d’une certaine modestie, tout en prenant ses propres responsabilités !
Conseil n°6 : Ne faites pas de phobie administrative ou mariez vous avec un(e) comptable. Il va falloir apprendre à tenir une comptabilité, à faire des factures, à choisir une structure juridique pour permettre tout cela (autoentrepreneur par exemple), comprendre les procédures administratives associées, les déclarations d’impôts, et surtout, surtout, SURTOUT s’armer de patience, de courage et d’opiniâtreté pour comprendre Chorus Pro… Ce système va vous demander des numéros impossibles à obtenir, des informations sibyllines que seuls les grands prêtres connaissent et rejeter impitoyablement toutes vos tentatives farfelues d’obtenir la juste contrepartie de vos diligences. Je vous offre 10 mn de mode d’emploi vidéo.
Conseil n°7 : Demandez des précisions techniques avant d’accepter une mission. “Examiner l’ordinateur scellé n°12” est une mission un peu vague. Est-ce un ordinateur Windows, un Mac, un AS/400, un Tera-1000-2 ? Les moyens que VOUS mettrez en œuvre A VOS FRAIS ne sont pas les mêmes. Idem pour les téléphones, tout le monde n’a pas une mallette spécialisée d’analyse. Et je ne connais aucun expert ayant réussi à faire passer le coût d’achat de ses équipements d’analyse sur Chorus Pro.
Conseil n°8 : Sécurisez votre environnement informatique d’expertise ou mariez vous avec un(e) RSSI. Là aussi , pour faire court, imaginez que la police débarque chez vous parce que votre enfant a insulté un ministre sur Twitter, et qu’elle découvre les 150000 images et films pédopornographiques stockés sur votre disque dur dans le dossier TEMP au lieu d’être chiffrés dans le dossier EXPERTISES_PENALES. La nuit va être difficile.
La justice (allégorie)
Voilà, j’espère que ces quelques conseils vont sauver votre future activité d’expert judiciaire. Si quelqu’un avait pu me les donner avant de démarrer mes expertises, jamais je n’aurais commencé ^^.
Ce billet est la suite de celui-ci et me permet de faire un bilan de cette expérience.
Tout d’abord, je voulais utiliser du matériel d’occasion pour me faire une machine de cassage de mots de passe basée sur les anciennes cartes graphiques de mon gamer de fils. Puis est née l’envie de regarder un peu du côté des cryptomonnaies, pour découvrir cet univers. Enfin, l’idée était de remplacer mon chauffage électrique d’appoint qui me chauffe l’hiver. J’ai donc mené cette expérience tout l’hiver, prolongée jusqu’au mois de mai où j’ai éteint ce mini rig de minage.
La machine
Il s’agit d’un ancien PC dont la carte mère possède trois ports PCI-Express 1x qui me permettent de déporter les cartes graphiques loin du boîtier, grâce à des “Riser PCI” achetés pour mettre les cartes à la verticale.
Si au départ j’ai utilisé plusieurs alimentations séparées, “bricolées” pour démarrer sans être reliées à la carte mère, j’ai fini par récupérer une alimentation unique de 850W qui me permet d’alimenter la carte mère et les cartes graphiques. Notez que j’aurais pu simplement acheter un câble “double alimentation” à 12€ permettant de brancher deux alims ATX sur la même carte mère. Mais bon, les alims étaient vieilles, chauffaient beaucoup et je n’avais pas trop envie de mettre le feu à ma studette…
J’ai utilisé trois cartes graphiques : 2 GTX1080Ti (dont une achetée sur LeBonCoin) et 1 GTX1060, toutes branchées sur leur riser. J’ai ajoutée quelques radiateurs passifs qui traînaient dans mon bazar, afin d’extraire le plus vite possible la chaleur des GPU (en plus des ventilateurs d’origine) et les maintenir à environ 70°C en fonctionnement.
A vu de nez, l’ensemble consomme environ 700Wh, ce qui correspond à un petit chauffage d’appoint électrique. Attention toutefois, celui-ci va fonctionner 24h/24 et 7j/7 : il faut donc qu’il soit utile et permette de gagner quelques degrés par rapport au chauffage collectif de mon immeuble (ce qui est le cas : sans chauffage d’appoint, il fait 18°C dans ma studette l’hiver).
Le choix de la cryptomonnaie et de l’équipe de minage
Après avoir fait pas mal de tests, j’ai choisi de miner de l’Ethereum (ETH) et d’être payé sans frais en Bitcoin (BTC) en participant à l’équipe de minage eth.2miners.com. Il n’est pas nécessaire d’y créer un compte et les frais de participation sont corrects (1%). J’ai choisi d’être payé dès que possible, c’est-à-dire dès que la rémunération de mon système de minage arrive à 0.005 ETH, ce qu’il atteint tous les 4 jours. Cet hiver, cela correspondait environ à 14 euros tous les 4 jours.
J’utilise le logiciel Gminer qui utilise bien les ressources de ma configuration, là aussi à un coût raisonnable dû aux développeurs (1%).
Enfin j’utilise le logiciel Exodus comme portefeuille crypto pour obtenir une adresse BTC et y stocker mes Bitcoins obtenus pour les blocs ETH minés. J’ai fait le choix d’un portefeuille logiciel installé sur ma machine (et mon téléphone) pour éviter d’utiliser celui fourni par les plateforme (Binance, ZenGo…). Cela demande de bien faire attention à ses sauvegardes.
Le transfert en euros
Mon objectif initial n’était pas de faire des plus-values d’investissements, et donc je pensais transférer rapidement mes Bitcoins en Euros. Mais j’ai été relativement désappointé par l’application ZenGo que j’utilisais initialement (car sans obligation de créer un compte). En effet, il s’est passée 3 heures entre la demande de conversion de mes Bitcoins en Euros et sa réalisation effective par ZenGo, ce qui a fait que j’ai perdu 3% du montant attendu (le BTC avait baissé pendant ces 3h). Ça laisse une impression désagréable, loin de l’idée de l’ordre de vente à la corbeille que je vois dans les films.
J’ai donc fini par me créer un compte sur une plateforme d’échange, et j’ai choisi Binance. J’ai mis un peu de temps à trouver les menus des seules actions qui m’intéressent, mais j’ai fini par comprendre (la plateforme est surtout conçue pour ceux qui veulent trader).
Je transfère donc de temps en temps mes Bitcoins avec Exodus vers Binance, puis je choisis sur Binance le moment de la cotation du BTC la plus intéressante pour faire la conversion en euros vers mon compte bancaire. C’est amusant comment on en arrive à regarder les cours du BTC tous les jours en “espérant” que ça monte (bull market ou marché taureau). Autant dire qu’en ce moment, je ne transfère pas grand chose (bear market ou marché ours).
Au passage, j’ai appris qu’en bourse, on appelle un marché à la baisse “bear market” et un marché à la hausse “bull market”, à cause de la façon dont ces deux animaux se battent : l’ours attaque avec ses griffes de haut en bas, alors que le taureau utilise ses cornes de bas en haut 🙂
Ma machine de minage est maintenant éteinte jusqu’à l’hiver prochain, sauf bien sur de temps en temps pour un petit cassage de mots de passe avec hashcat… et ça, c’est une autre histoire.
Lorsque son entreprise utilise Google Workspace ou Microsoft 365, le RSSI peut accéder à des outils de supervision fournis par ces deux grands éditeurs. Ces outils donnent accès à des systèmes d’alerte plus ou moins paramétrables qui permettent d’avoir des informations concernant la sécurité informatique des comptes.
Bon, voilà pour la théorie.
En pratique, quand vous devez superviser 30 000 comptes, si vous ne voulez pas être submergé d’informations, il faut “faire confiance” à des règles pré-paramétrées et à des filtres qui vous alertent quand ils repèrent un problème. Il est de plus très difficile d’être expert de chaque outil de supervision et de chacune des briques de sécurité fournies, car les règles d’alerte et les filtres changent très souvent, et sont adaptés par les équipes Google et Microsoft, sans prévenir les équipes de sécurité de leurs clients.
Si en plus vous êtes comme moi en charge de la coordination de la sécurité informatique d’une grande école de l’enseignement supérieure, alors les mois de juin et de décembre sont un peu particuliers… En effet, beaucoup d’utilisateurs se déplacent d’un coup dans le monde entier, ce qui affole les outils de détection. C’est le charme du travail avec une grande population d’étudiants.
Mais si en plus, l’école accueille un très grand nombre d’étudiants étrangers, en provenance d’un grand nombre de pays, alors là c’est le pompon : les outils détectent des connexions en provenance de PAYS A RISQUE : Syrie, Russie, Iran, Irak, Libye, Chine, Tchétchénie, Yémen…
Alors, comme toute l’année, le RSSI prend son bâton de pèlerin, et vérifie que oui, ce compte est bien attribué à une personne qui vit dans ce pays, et que oui, il est probable qu’à ce moment de l’année, cette personne soit rentrée chez elle, même dans ce pays identifié comme PAYS A RISQUE par les outils de détection américain. C’est un travail long et fastidieux, mais qui a le mérite de me faire voyager par procuration.
Et de temps en temps, je tombe sur un compte réellement compromis, en général par un pirate ayant récupéré les identifiant/mot de passe de l’étudiant quand celui-ci les utilise sur d’autres comptes, ailleurs sur la planète, et que ceux-ci se sont faits piratés…
A ce moment-là démarre une autre traque, plus délicate : la recherche des données ayant été compromises, exfiltrées par le pirate. Il faut ensuite prévenir les personnes concernées, faire les déclarations auprès des organismes appropriés (CNIL, dépôt de plainte…).
Mais ça, c’est une autre histoire. Pour l’instant, je rêve de SOC et d’armés d’experts qui pourraient m’aider dans ces tâches parfois un peu absurdes et rébarbatives : tiens, untel est-il vraiment parti en vacances/travail/famille à tel endroit ?
Ceux qui me suivent depuis le début sur ce blog savent que j’ai un parcours professionnel particulier : diplôme d’ingénieur en poche, j’ai passé une thèse sur les réseaux de neurones comme maître assistant, puis travaillé comme maître de conférences, puis comme professeur-chef de projet informatique dans une école d’ingénieurs généralistes en mode startup (lire cette série de billets), où je suis ensuite devenu responsable informatique, DSI, et enfin directeur technique et informatique.
Puis, en désaccord avec le directeur général sur l’importance des moyens humains à consacrer au développement du numérique, j’ai quitté début 2019 l’entreprise que j’avais contribué à développer, pour rejoindre une magnifique structure où j’apprends à endosser les habits du RSSI.
Mon âge et mon parcours font dire à certains de mes jeunes collègues que je me comporte encore comme un DSI, plutôt que comme un expert technique.
Ce que je n’ai pas écrit, c’est comment moi je me situe face à ce profil idéal… Et bien je pense être un DSI expérimenté de petite structure, expert des processus de son ex PME, qui s’est lancé le défi d’apprendre à devenir un expert technique cyber tout en découvrant les processus métiers de sa nouvelle entreprise internationale…
Bref, je suis un débutant en cyber et un bleu dans l’entreprise !
C’est excellent pour la taille des chevilles et de la tête, et cela me rappelle mes débuts dans la recherche quand mon mentor me disait : “Zythom, tout ce que tu as cru apprendre en classes préparatoires et en école d’ingénieurs, il va falloir maintenant le comprendre réellement, et il y a beaucoup de travail !”.
C’est exactement ce qu’il se passe depuis trois ans et demi : beaucoup des “réflexes” que j’avais pu acquérir comme DSI sont à désapprendre pour être mieux appris, et surtout compris dans le nouveau contexte de la sécurité informatique d’une grande entreprise. Il y a un effet d’échelle.
Un exemple ? Prenons le chiffrement du disque d’un ordinateur portable sous Windows. Comme DSI de PME, il m’a suffi de regarder ce que Microsoft proposait comme solution, puis de retenir Bitlocker, de rédiger un mode d’emploi, puis de demander au personnel concerné de chiffrer sa machine, avec mon appui et celui du service informatique. Comme RSSI dans une structure de grande taille, il m’a fallu étudier toutes les solutions avec les experts techniques (beaucoup plus pointus que moi sur le sujet) et retenir avec eux la solution qui pouvait être déployée sur une grande échelle, puis gérée par l’équipe support face à tous les incidents possibles (un utilisateur se trouvant à l’étranger et oubliant sa clé de déchiffrement, par exemple).1
J’ai encore beaucoup à apprendre, et beaucoup de coups à recevoir, avant de perdre les habits soyeux du DSI pour l’armure cabossée du RSSI. Mais l’aventure est passionnante 🙂
1 – Pour la petite histoire, nous avons retenu le logiciel Cryhod qui cochait toutes les cases.
Avec le temps, j’ai réussi à me concentrer sur les missions du RSSI, sans toutefois oublier complètement les contraintes d’un DSI, ni les exigences d’un professeur, et petit à petit, j’ai compris les codes de l’entreprise, et j’ai pu réussir à construire une stratégie d’amélioration de la sécurité informatique, par petits pas.
Mais si je devais donner un seul conseil aux jeunes RSSI qui, comme moi, débutent sur ce marché, c’est de s’inscrire aux deux organismes phares du secteur : le CESIN et le CLUSIF, de participer aux échanges, aux retours d’expérience, et aux salons professionnels.
Pour l’instant, ma soif d’apprendre n’a pas diminué, et je continue de creuser mon sillon.
Je me demandais si mon corps n’était pas en train de me lâcher à cause du vieillissement, mais j’ai réalisé que je menais de plus en plus d’activités et que ça partait en cacahuète dans tous les sens.
Le fait de travailler trois jours par semaine en région parisienne, dans mon petit logement d’étudiant, puis de revenir quatre jours dans ma lointaine province, auprès de Mme Zythom, et cela chaque semaine, ça fatigue un peu.
Pratiquer à plein temps depuis trois ans et demi, le métier de RSSI d’une grande école française, cela fatigue aussi quelque peu. Ce métier est horriblement fatiguant, mais tellement passionnant, mais épuisant !
Mener de front un grand nombre de conversations sur différents média, cela aussi c’est épuisant : Twitter, Mastodon, Signal, Shadeline, Discord… Tous ces canaux de discussion demandent du temps et de l’investissement.
J’ai donc décidé de réduire la voilure, et de ne garder que ce blog comme petite parcelle d’internet pour ma liberté d’expression. Si vous me suiviez sur Mastodon ou sur Twitter, je ne pense pas continuer à y publier grand chose : abonnez-vous aux flux RSS de publication des billets, ou venez quelques fois par ici voir si ça bouge encore. Si vous voulez échanger avec moi, vous pouvez laisser un commentaire sur le blog, ou m’écrire par email sur les coordonnées que vous trouverez sur ma page contact.
Ne vous sentez obligé de rien, les lectrices et lecteurs silencieux, c’est très bien aussi 🙂
PS: Je suis sur un gros projet professionnel, donc nécessairement moins présent aussi ici.
