Le matériel et les logiciels d’un informaticien expert judiciaire

Publié le 10 juin 2015 par Zythom

S’il est bien un sujet délicat à aborder,c’est celui des choix que j’ai pu faire en matière de matériels et de logiciels, à titre personnel. Délicat, car chaque lecteur dispose sur le sujet d’un avis très arrêté, documenté et affirmé, qui supporte assez peu la discussion.

Bref, un vrai appeau à Trolls 😉 Mais je suis prêt à relever le défi.

Tout d’abord, je ferai quelques réflexions liminaires, destinées principalement au lecteur peu habitué à ce blog :

– Je suis un informaticien comme les autres, passionné d’informatique comme beaucoup, et qui exerce, à côté de sa profession d’informaticien, l’activité d’expert judiciaire en informatique.

– Je me considère comme un informaticien généraliste : je connais des choses, mais je ne suis spécialiste de rien. En particulier, je ne suis pas un spécialiste de la sécurité, de GNU/Linux, de FreeBSD, de Mac, etc. J’en suis un utilisateur curieux.

Les choix matériels :

Il y a à la maison quatorze ordinateurs : un pour chaque enfants (3), plus la tablette du fiston (servant ~~principalement~~ exclusivement aux jeux), un pour le cabinet d’avocat de mon épouse situé dans la maison, et quatre pour moi (un ordinateur de travail, une station d’analyse inforensique, un Raspberry Pi et une tablette). Plus cinq smartphones… Je ne compte pas comme ordinateurs les deux consoles de jeux (Xbox 360 et Wii) bien qu’elles disposent chacune d’une adresse IP.

A cela, il faut ajouter deux serveurs de stockage NAS (Synology) et un PC démonté qui me sert pour des tests divers (par exemple pour monter un GROS serveur de stockage FreeNAS en cas de besoin ponctuel).

J’ai aussi un stock d’une dizaine de disques durs de diverses tailles et capacités (de 200 Go à 4 To).

Mon ordinateur est une machine achetée sur Amazon chez un assembleur allemand.
Il a quatre ans et suffit toujours aux besoins que j’ai : 16 Go de RAM,
trois écrans, un disque SSD de boot et deux disques durs de 3 To. Les
données confidentielles sont stockées dans des containers TrueCrypt sur un NAS individuel monté en iSCSI, les
données familiales sur le NAS collectif (photos, vidéos familiales,
musiques, etc.) avec sauvegarde externe branchée directement sur le NAS
en USB3. Les deux NAS sont des Synology avec deux disques durs de 3 To en
miroir.

L’aîné a demandé un ordinateur portable pour ses études de médecine, la puînée et le petit dernier ont des machines fixes classiques, ainsi que mon épouse (avec comme contrainte une machine silencieuse).

Ma politique de gestion de parc est d’acheter environ une machine par an et de récupérer les pièces des machines anciennes. J’ai BEAUCOUP de pièces détachées et de connecteurs, ce qui est pratique pour les expertises et les expériences…

La structure du réseau :

J’ai passé à la maison des câbles catégorie 6 dans toutes les pièces, sauf à l’étage où règne le Wifi (si c’était à refaire, je câblerai vraiment toutes les pièces, les enfants étant très consommateurs de bande passante vers le NAS familial).

Le cœur de réseau est un petit switch giga huit ports, en complément des 4 ports de la FreeBox. J’ai également cascadé un switch huit ports dans mon bureau pour toutes mes bidouilles.

Pour l’adressage IP des machines du réseau, j’utilise le serveur DHCP
de la Freebox, mais le DNS principal est autohébergé sur le NAS
familial depuis la décision de l’État français d’obliger les FAI à
censurer la navigation de leurs abonnés.

Le Raspberry
Pi est sous Debian (Raspbian) avec comme seul objectif de gérer mon VPN
(sous OpenVPN) et de router le trafic de certaines de mes VM vers FreedomIP.
Je n’ai pas imposé le routage du trafic de toute la maison (pour
l’instant) en raison des facilités de géolocalisation « offertes » par un
grand nombre de sites. Si certains objets connectés n’ont pas vocation à
être reliés à internet par un VPN (la Xbox et la Wii par exemple), je prévois
sous peu de migrer toute la famille derrière ce VPN. Il me reste à
vérifier le fonctionnement de RPVA.

Les logiciels :

Tous mes enfants ont fait leurs premiers pas en informatique à l’âge de deux ans, avec un vieux PowerMac toujours fonctionnel sur lequel tourne un seul logiciel : « Beuleu-beuleu » qui permet l’apprentissage de la souris de manière ludique avec une grosse gomme qui efface l’écran avec sa langue, ce qui déclenche hilarité des petits (et des grands). Il est maintenant rangé dans son carton et attend l’arrivée des petits enfants…

Ensuite, j’ai rapidement opté pour les logiciels éducatifs de la gamme Adiboudchou, puis Adibou et enfin Adi.

Tous les ordinateurs de mes enfants sont donc sous Windows.

Ils ont donc rapidement appris le fonctionnement d’un ordinateur sous Windows, avec les logiciels classiques de type MSN messenger (en son temps), Photofiltre et Skype. Je leur ai installé Firefox+AdBlock et OpenOffice (ou LibreOffice) pour leurs travaux scolaires. J’ai un peu abordé l’utilisation de GNU/Linux, mais je n’ai pas rencontré d’écho particulier, donc je n’ai pas insisté.

Le cabinet de mon épouse est sous Windows, pour garantir le plus possible (et avec le moins de soucis possible) le fonctionnement de ses outils professionnels, en particulier RPVA. Je sais que certains avocats se battent pour faire fonctionner leurs outils sous GNU/Linux, mais bon.

De mon côté, les lecteurs assidus de mon blog le savent bien, je suis un gros fainéant : je cherche toujours les outils permettant de faire le moins d’effort possible. J’ai longtemps été administrateur informatique sur mon lieu de travail, ce n’était pas forcément pour faire la même chose à la maison. C’est en suivant cette ligne de conduite que j’ai choisi comme hébergeur pour mon blog blogger.com (racheté depuis par Google) et Gmail comme service de messagerie. De temps en temps, je change le blog de look (en quelques clics), c’est résistant aux attaques DDOS (surtout si Me Eolas fait un tweet avec un lien vers mon blog ;-), je ne m’occupe pas d’admin, de migration, de stockage, etc. Lors du piratage de mon blog, les équipes de Google ont été très réactives et le retour à la normale très simple. Les sauvegardes sont très faciles à faire, l’entretien des serveurs transparent. Le blog dispose nativement d’une version adaptée aux smartphones et aux tablettes. Quand je disparaîtrai, mes proches n’auront rien à faire (juste lire l’email qui leur sera envoyé par blogger après deux mois d’inactivité). Bref, je n’autohéberge pas mon blog, uniquement par flemme.

Côté navigateurs, j’utilise Firefox avec les extensions AdblockPlus, HTTPS EveryWhere et Ghostery. Parfois Chromium, Chrome, QtWeb ou Opera. Parfois aussi Tor Browser 😉

Je loue le nom de domaine familial chez Gandi, et héberge les boites aux lettres chez Gmail (avec un Google Apps familial) en mode webmail. C’est sans doute ce point qu’il va falloir que je travaille, si je veux un peu sortir de la toile d’araignée de Google. Mais pour l’instant, tout le monde est content. J’ai quand même veillé à séparer FAI / nom de domaine – emails / boites aux lettres pour pouvoir gérer tout cela de manière indépendante. Je continue de trouver Google très pratique et puissant, sans publicité intrusive. Je reste un Google fan.

J’utilise beaucoup de machines virtuelles sous VirtualBox : une machine Ubuntu pour mes activités de blogueur, des machine sous Debian, des machines sous Windows XP/7/8/10, des distributions de test). Le système d’exploitation hôte est Windows 7 parce que… je suis fainéant (c’est pratique comme excuse). C’est aussi le système d’exploitation que j’ai imposé au boulot pour harmoniser les postes clients et les coûts. Tout est question d’habitude.

Concernant les expertises, j’ai déjà beaucoup parlé des outils sur ce blog, mais je peux citer la distribution DEFT, Ultimate Boot CD, le groupe d’outils « The Sleuth kit » et son interface graphique Autopsy, TestDisk et PhotoRec, et le logiciel DFF.

Concernant les utilitaires toujours très pratiques et dont on a toujours besoin, j’utilise la LiberKey et ses 300 logiciels. Pas d’installation à faire, positionné sur le NAS donc accessible depuis tous les postes, mises à jour régulière… Bravo à cette communauté !

Les deux tablettes fonctionnent sous Androïd avec un compte Google créé pour chaque tablette. Elles ne sont pas encore rootées mais cela ne saurait tarder.

Les projets / envies :

– J’aime bien mes deux NAS Synology, mais je voudrais les remplacer par un NAS fait maison (« Do It Yourself »). Cela me permettrait de regrouper dans une seule machine toutes les fonctionnalités dont j’ai besoin, aussi bien en terme de stockage, que de VPN, serveur DNS, DHCP, sauvegarde, etc. Ce qui m’a fait hésiter pour l’instant est l’extrême simplicité des mises à jour de Synology. Cela ne m’empêche pas de regarder les différents blogs qui propose des NAS DIY autour de cartes mères mini ITX et de FreeNAS (comme ici par exemple). Le but est d’avoir une maîtrise plus grande (en terme de surveillance cachée) de la couche logicielle, mes NAS propriétaires actuels pouvant facilement être recyclés en systèmes dédiés à la sauvegarde.

– Mon activité d’expert privé fonctionnant plutôt bien, je rêve d’acquérir des logiciels d’investigation du type d’Encase Forensic. Il ne reste plus qu’à casser la tirelire, et à trouver un fournisseur qui fait les prix les plus bas (si vous en connaissez, contactez moi).

– Je caresse régulièrement l’idée d’abandonner Blogger, malgré tout le confort que j’y trouve. Je regarde avec intérêt les solutions proposées par les uns et les autres, mais pour l’instant je ne fais pas le grand saut.

– Côté messagerie, je teste depuis quelques mois ProtonMail qui propose un service sécurisé qui me semble très prometteur. Pour l’instant, je continue à utiliser Gmail et à chiffrer certains emails avec GPG.

– Je n’aime pas l’idée d’être surveillé par les « algorithmes » des boites noires qui vont être imposées aux FAI par l’État. Je teste donc depuis un mois le routage de mon trafic vers un VPN par un Raspberry Pi. Pour l’instant, tout semble bien fonctionner et je m’apprête à prendre un abonnement VPN « pro » (de type Toonux VPN) pour y faire passer tout le trafic de la maison. J’avance tranquillement sur ce projet et j’en suis à sniffer mon réseau avec WireShark pour voir ce qui passe encore hors VPN. C’est là que l’on voit que je ne suis pas un spécialiste.

Conclusion :

Je vous avais prévenu qu’aucune originalité ne ressortirait de ce billet. Mes choix reflètent mes habitudes, mes préférences et ma nonchalance. J’aime bien toucher à tout, et j’essaye de prendre le meilleur de tous les outils que je rencontre. J’aime bien voir ce que les autres informaticiens font chez eux car cela me donne souvent des idées, des envies de tester autre chose.

Et vous, quels choix avez-vous faits ?

Les choses ne sont pas toujours ce qu’elles paraissent

Publié le 3 juin 2015 par Zythom

Cette expertise est délicate : je dois accompagner un huissier de justice pour faire un constat sur un ordinateur d’entreprise.

Encore une fois, je connais peu le contexte technique avant l’intervention. Vais-je trouver un terminal relié à un AS/400, un magnifique Macintosh, un classique ordinateur sous Windows, un surprenant poste sous GNU/Linux ou un client léger très tendance ?

Je me rapproche de l’huissier à qui j’explique mes interrogations et qui me renvoie vers le chef d’entreprise. Je contacte icelui, qui m’informe que le poste du salarié ciblé est un classique poste sous Windows XP (nous sommes dans les années 2000), même pas virtualisé.

Je m’équipe pour l’intervention et nous voilà dans l’entreprise devant le poste de travail. Le constat est rapide, précis. L’huissier est efficace et notre couple fonctionne bien. En fin d’intervention, il m’est demandé de faire une copie du disque dur à fin d’analyse et de remettre le disque dur original à l’huissier qui le met sous scellé.

Me voilà chez moi, sur mon ordinateur personnel, à analyser le contenu du disque dur du salarié à la recherche des éléments constitutifs de la faute lourde. Je lance l’analyse du disque dur et mes scripts d’extraction de données. Je jette un coup d’œil aux résultats avant d’aller me coucher, l’affaire semble entendue…

Le lendemain, je commence la rédaction de mon rapport en annexant tous les documents gênants retrouvés sur l’ordinateur. Je les classe dans les catégories suivantes :

– les fichiers non effacés présents sur le compte informatique du salarié

– les fichiers non effacés présents hors du compte informatique du salarié

– les fichiers effacés toujours présents dans la corbeille du compte informatique

– les fichiers effacés toujours présents sur le disque dur (hors compte).

Les données « intéressantes » sont, dans cette affaire là, dans la dernière catégorie, en particulier dans la zone « non allouée » du disque dur.

Suivant les précautions d’usage, je rédige le rapport en précisant que les données retrouvées ne disposant plus des métadonnées du système d’exploitation, il n’est pas possible de les dater ni d’en connaître l’origine. Concentré sur ma rédaction, j’explique que les bribes de données retrouvées sont regroupées par mon logiciel de récupération dans des fichiers, mais que l’histoire du (nom du) fichier d’origine a disparu.

Ces données sont pourtant bien présentes sur le disque dur de l’ordinateur que l’entreprise a attribué à son salarié mis en cause.

Soudain, un doute m’assaille…

Je contacte le service informatique de l’entreprise, et avec l’autorisation du chef d’entreprise, je leur pose quelques questions concernant la gestion du parc informatique. Je découvre alors que l’entreprise fait tourner son parc, en affectant les ordinateurs puissants et neufs au service R&D, puis les « recycle » un an après aux salariés des bureaux, et enfin dans les ateliers.

Le disque dur que j’analyse a donc eu plusieurs vies, le service informatique procédant à chaque fois à un formatage rapide du disque avant d’installer la nouvelle configuration adaptée au salarié.

Les données traînant dans la zone non allouée du disque dur n’appartiennent à personne et il m’est impossible de retracer leur historique de transfert. Ces données peuvent tout aussi bien avoir été introduites sur le disque dur par le dernier salarié auquel l’entreprise a affecté l’ordinateur, que par le premier.

J’ai travaillé ma rédaction en insistant pédagogiquement sur ces points et j’ai rendu mon rapport.

Quelques mois plus tard, j’apprenais qu’un collègue de ce salarié avait reconnu la faute grave, pris sur le fait en train de manipuler les données confidentielles interdites. J’ai appelé le service informatique de l’entreprise qui m’a confirmé que l’ordinateur avait été affecté un temps à ce salarié, et que mon rapport les avait forcé à tracer l’historique de l’affectation du poste de travail.

Rétrospectivement, j’ai félicité mon moi antérieur pour les précautions qu’il avait prises, évitant ainsi d’incriminer un innocent. Jeunes experts en informatique, pesez avec prudence les affirmations que vous écrivez dans vos rapports. N’oubliez pas que derrière un compte informatique nominatif peut se cacher une autre personne (connaissant le mot de passe du compte qui n’est pas le sien). N’oubliez pas qu’un logiciel malveillant peut simuler une action délictuelle à l’insu de l’utilisateur de l’ordinateur. Et n’oubliez pas qu’une donnée égarée sur un disque dur peut avoir été introduite par un utilisateur antérieur. N’oubliez pas non plus les logiciels de prise de contrôle à distance et autres produits de déploiement applicatifs…

Bref, beaucoup des informations qui peuvent être extraites d’un ordinateur sont à prendre avec des pincettes.

L’âge du retrait

Publié le 29 mai 2015 par Zythom

Quand j’ai été inscrit sur la liste des experts judiciaires de ma cour d’appel, j’avais 35 ans. J’étais alors le plus jeune expert judiciaire en informatique de France. Dans ma cour d’appel, l’expert qui me suivait en âge avait 20 ans de plus que moi… et vient qu’être atteint par la limite d’âge pour l’inscription sur la liste (70 ans) des experts judiciaires.

A l’époque, cette situation me sidérait, tant les évolutions informatiques étaient fortes et rapides. Internet se répandait dans les foyers (je vous parle de 1999), l’informatique sortait de l’univers réservé aux geeks, les entreprises s’équipaient en masse de matériels individuels et vivaient leurs révolutions numériques dans l’analyse de leurs processus (on parlait alors beaucoup de « l’objectif zéro papier », et bien sur du « bug de l’an 2000 »).

Comment des vieux de plus de 55 ans pouvaient-ils encore être dans la course et répondre correctement aux sollicitations des magistrats ?

(oui, à 35 ans, je considérais comme vieux tous ceux qui avaient plus de 55 ans, de la même manière que je considérais comme vieux tous les plus de 20 ans quand j’étais au lycée, les plus de 30 ans quand j’avais 20 ans, etc.)

J’ai aujourd’hui 51 ans, je me souviens de mes 35 ans irrespectueux, et je me pose la question : n’est-il pas temps d’arrêter de proposer mes services aux magistrats ? Le temps du retrait n’est-il pas venu ?

Pour un tas de bonnes raisons, je n’ai pas pris le virage de la téléphonie mobile, en refusant d’acquérir les compétences (dont je n’avais pas besoin professionnellement) et les équipements nécessaires à l’analyse inforensique des téléphones de plus en plus intelligents.

Avec l’âge, je prends de plus en plus de responsabilités dans mon métier de directeur informatique et technique, et de ce fait, je suis moins souvent à gérer directement des tâches d’administrations des systèmes informatiques, pris par mes fonctions de management et de gestions administratives stratégiques.

Bien sur, je suis plus à l’aise maintenant qu’il y a 16 ans, dans l’animation souvent difficile des réunions d’expertise judiciaire. Je suis moins sensible aux images et films que j’ai à observer lors des analyses de scellés. Je suis plus rodé aux procédures, aux logiciels, à la rédaction de rapports… C’est ce que l’on appelle l’expérience.

Et j’ai encore beaucoup de choses à apprendre : l’analyse des « gros systèmes », l’analyse à chaud de systèmes, la médiation… avec, et c’est important, l’ENVIE d’apprendre.

Mais je suis de plus en plus conscient des changements permanents qui concernent le monde technique dans lequel je suis « expert » : les objets connectés, les nouveaux systèmes d’exploitation qui se profilent (les différents Windows, les différents iOS, les différents Android, les différents GNU/Linux, et tous les autres).

N’y a-t-il pas une contradiction entre se prétendre « expert généraliste de l’informatique » et être capable d’intervenir de manière très pointue dans tous les domaines de l’informatique ? Bien sur que oui. Et cette contradiction se gère très bien quand l’on dispose de l’énergie suffisante pour suivre les évolutions techniques, se former en permanence, être en veille sur toutes les nouveautés et être capable d’acquérir rapidement les connaissances d’un spécialiste, à la demande.

Je croise d’excellents experts judiciaires de plus de 50 ans…

Mais je me demande à quel moment j’aurai la lucidité de demander mon retrait de la liste des experts judiciaires de ma cour d’appel. A quel moment faut-il laisser la place aux jeunes, aux forces vives, aux suivants ? A 55 ans ? A 60 ans ? A 65 ans ?

Mes parents ont pris leur retraite d’instituteurs au moment où l’informatique entrait en force dans l’éducation nationale (avec les MO5/TO5). Pendant des années, ils sont désintéressés de ce qui allait appeler la révolution numérique. Ils ont vu disparaître les cassettes vidéos, les cassettes audio, les appareils photos argentiques, les caméscopes à cassettes, la télévision hertzienne analogique. Ils ont arrêté de prendre des photos, parce que c’était devenu trop compliqué. Heureusement, ils ont eu la force de suivre des cours d’informatique organisés par la mairie de leur commune, et se faire offrir un ordinateur « tout en un » par leur grand fils chéri. Ils ont maintenant une adresse email, naviguent sur internet à la découverte du monde, et participent avec leurs enfants et petits enfants à des visioconférences Skype toutes les semaines (j’ai des parents fantastiques).

Mais quid de ceux qui n’ont pas eu la force de s’adapter au monde numérique ? Ils subissent les évolutions technologiques. Ils regardent passer le train.

Je connais beaucoup de gens de mon âge qui se moquent des réseaux sociaux, qui regardent avec un air dégoûté les outils utilisés par leurs enfants. Ils ont raison, parfois, surtout face aux excès. Et puis chacun est libre de ses choix.

De mon côté, je me demande à quel moment je vais rater le train et rester sur le côté. J’essaye d’imaginer ma vie dans 30 ans. J’essaye de deviner quelles évolutions technologiques vont me dépasser, parce que je me serai dit « ce n’est pas pour moi » ou « ça ne m’intéresse pas ». Ou encore « ça ne marchera jamais ».

A quel moment est-on dépassé dans son cœur d’expertise ?

A quel moment l’énergie, l’envie, la curiosité diminuent-elles irrémédiablement ?

A quel moment vais-je baisser les bras ?

Histoire de drone

Publié le 13 mai 2015 par Zythom

Ce blog devient un peu trop sérieux à mon goût, et trop axé sur les expertises. Aussi, je vais vous narrer une petite histoire qui m’est arrivé au travail.

Un matin, alors que je traversais l’école où je travaille, le gardien me tombe dessus : « Zythom, j’ai entendu un gros bruit cette nuit sur le toit de l’école ! J’y suis allé ce matin et j’ai trouvé ça » (ouvrant un sac de supermarché) :

Mince, un drone s’est écrasé sur le toit !

Comme si je n’avais que ça à faire… Du coup, je suis allé inspecter le toit de l’école pour voir les dégâts (insignifiants), et je me suis retrouvé avec un nouveau problème sur les bras : comment me débarrasser de cet appareil ?

Je regarde d’un peu plus près les composants, et je repère une petite caméra GoPro avec une carte mémoire 16Go.

J’emmène tout ça chez moi, où je dispose des adaptateurs microSD pour analyser le contenu de cette carte : nada. Rien. Aucune donnée visible sur la carte.

Je lance alors l’excellent logiciel PhotoRec pour extraire rapidement toutes les données encore présentes sur la carte, malgré leur effacement. Je laisse le logiciel faire son boulot et, au bout de quelques heures, me voici avec 400 photos sur les bras.

Des images de survol, des images d’atterrissage, encore des images de survol. Et quatre selfies du propriétaire posant avec ses camarades dans une salle de cours (tenant la GoPro à bout de bras). Je tiens donc l’image du propriétaire, je vais pouvoir le retrouver.

Oui, mais.

J’ai la tête du propriétaire sur des photos, je peux les imprimer pour les montrer ou les envoyer par email aux différents DSI des établissements d’enseignement du coin. Oui, mais ça m’embête de divulguer autour de moi des photos dont je perçois parfaitement le caractère privé. Donc non.

Je décide d’attendre que le propriétaire vienne à moi. L’information concernant le crash du drone sur le toit de mon établissement va vite lui parvenir aux oreilles, et, s’il cherche son appareil, il viendra le réclamer à l’accueil. Je passe la consigne à l’accueil de me l’envoyer dès qu’il se présentera. Je saurai le reconnaître, puisque je connais déjà son visage.

Oui, mais. Une semaine s’écoule, et pas de nouvelles. Au bout de dix jours, je décide de libérer mon bureau de cet encombrant engin : je l’apporte aux objets trouvés de ma ville. C’est l’occasion pour moi de découvrir ce service mythique. Le préposé m’accueille chaleureusement, mais semble débordé. « J’occupe deux postes car mon collègue est malade », me dit-il entre deux appels téléphoniques. « Posez votre objet sur le comptoir et donnez moi votre nom et un numéro de téléphone » ajoute-t-il en prenant un post-it. « Je l’enregistrerai dans quelques jours ».

Je ressors de là sans récépissé un peu dépité.

Le plus amusant, dans cette histoire, c’est qu’en revenant sur mon lieu de travail après avoir amené les restes du drone aux objets trouvés, le propriétaire s’est présenté à mon bureau…

J’ai donc pu connaître toute l’histoire : c’est un drone fabriqué dans le cadre de ses études à l’université voisine, ce qui explique son GPS embarqué, il effectue beaucoup de vols (avec autorisation) pour faire des relevés. Le jour de la chute, il y avait beaucoup de vent, il faisait nuit, la caméra est tombé en panne, il a perdu de vue le drone, puis l’a perdu tout court… Il le croyait tombé dans le lac voisin, jusqu’à ce que la rumeur lui parvienne que le drone était tombé sur le toit de mon établissement.

Je lui ai donné l’adresse du service des objets trouvés. Il a pu récupérer son appareil. Il semblait heureux d’être tombé sur quelqu’un d’honnête. Je lui ai parlé de la récupération d’images que j’avais effectuée sur la carte de sa caméra et semblait surpris que j’ai pu récupérer les selfies. « J’ai saturé la carte mémoire plusieurs fois avec des films de survol, je suis surpris qu’il reste des photos exploitables sur la carte ! »

Impossible n’est pas expert judiciaire!

Merci surtout à PhotoRec 😉

La loi de la honte

Publié le 5 mai 2015 par Zythom

Pour mémoire, voici les votes des députés sur le projet de loi relatif au renseignement, en première lecture, ce mardi 5 mai 2015 (source) :

Ils ont votés CONTRE :

Pouria Amirshahi

Fanélie Carrey-Conte

Aurélie Filippetti

Jean-Patrick Gille

Linda Gourjade

Philippe Noguès

Michel Pouzol

Barbara Romagnan

Gérard Sebaoun

Suzanne Tallard

Yves Albarello

Patrick Balkany

Étienne Blanc

Xavier Breton

Philippe Cochet

Bernard Debré

Jean-Pierre Decool

Patrick Devedjian

Nicolas Dhuicq

Sophie Dion

Virginie Duby-Muller

Hervé Gaymard

Claude Goasguen

Jean-Pierre Gorges

Henri Guaino

Jean-Jacques Guillet

Patrick Hetzel

Laure de La Raudière

Pierre Lellouche

Dominique Le Mèner

Laurent Marcangeli

Hervé Mariton

Franck Marlin

Philippe Meunier

Jean-Claude Mignon

Yannick Moreau

Édouard Philippe

Jean-Frédéric Poisson

Bérengère Poletti

Franck Riester

Thierry Solère

Alain Suguenot

Lionel Tardy

Jean-Charles Taugourdeau

Michel Voisin

Charles de Courson

Yannick Favennec

Jean-Christophe Fromantin

Philippe Gomès

Yves Jégo

Maurice Leroy

Hervé Morin

Bertrand Pancher

Arnaud Richard

Jonas Tahuaitu

Francis Vercamer

Laurence Abeille

Brigitte Allain

Isabelle Attard

Danielle Auroi

Michèle Bonneton

Sergio Coronado

Cécile Duflot

Noël Mamère

Paul Molac

Jean-Louis Roumégas

Eva Sas

François Asensi

Huguette Bello

Alain Bocquet

Marie-George Buffet

Jean-Jacques Candelier

Patrice Carvalho

Gaby Charroux

André Chassaigne

Jacqueline Fraysse

Alfred Marie-Jeanne

Jean-Philippe Nilor

Nicolas Sansu

Véronique Besse

Jacques Bompard

Gilbert Collard

Nicolas Dupont-Aignan

Jean Lassalle

Marion Maréchal-Le Pen

Thomas Thévenoud

Laurent Grandguillaume (a fait savoir qu’il avait voulu voté contre)

Ils ont voté POUR :

Ibrahim Aboubacar

Patricia Adam

Sylviane Alaux

Jean-Pierre Allossery

François André

Nathalie Appéré

Kader Arif

Christian Assaf

Joël Aviragnet

Pierre Aylagas

Jean-Marc Ayrault

Alexis Bachelay

Guillaume Bachelay

Jean-Paul Bacquet

Dominique Baert

Gérard Bapt

Frédéric Barbier

Serge Bardy

Ericka Bareigts

Christian Bataille

Delphine Batho

Marie-Noëlle Battistel

Philippe Baumel

Catherine Beaubatie

Marie-Françoise Bechtel

Jean-Marie Beffara

Luc Belot

Karine Berger

Chantal Berthelot

Gisèle Biémouret

Philippe Bies

Erwann Binet

Yves Blein

Daniel Boisserie

Christophe Borgel

Florent Boudié

Marie-Odile Bouillé

Christophe Bouillon

Brigitte Bourguignon

Malek Boutih

Émeric Bréhier

Jean-Louis Bricout

Jean-Jacques Bridey

François Brottes

Isabelle Bruneau

Gwenegan Bui

Sabine Buis

Jean-Claude Buisine

Sylviane Bulteau

Vincent Burroni

Alain Calmette

Jean-Christophe Cambadélis

Colette Capdevielle

Yann Capet

Christophe Caresche

Marie-Arlette Carlotti

Martine Carrillon-Couvreur

Christophe Castaner

Laurent Cathala

Jean-Yves Caullet

Guy Chambefort

Jean-Paul Chanteguet

Marie-Anne Chapdelaine

Guy-Michel Chauveau

Jean-David Ciot

Alain Claeys

Jean-Michel Clément

Marie-Françoise Clergeau

Romain Colas

Philip Cordery

Valérie Corre

Jean-Jacques Cottel

Catherine Coutelle

Jacques Cresta

Pascale Crozon

Frédéric Cuvillier

Seybah Dagoma

Yves Daniel

Carlos Da Silva

Pascal Deguilhem

Florence Delaunay

Michèle Delaunay

Guy Delcourt

Pascal Demarthe

Sébastien Denaja

Françoise Descamps-Crosnier

Sophie Dessus

Jean-Louis Destans

Michel Destot

Fanny Dombre-Coste

René Dosière

Sandrine Doucet

Philippe Doucet

Françoise Dubois

Jean-Pierre Dufau

Anne-Lise Dufour-Tonini

Françoise Dumas

William Dumas

Jean-Louis Dumont

Jean-Paul Dupré

Yves Durand

Philippe Duron

Olivier Dussopt

Henri Emmanuelli

Corinne Erhel

Sophie Errante

Marie-Hélène Fabre

Olivier Faure

Alain Fauré

Hervé Féron

Richard Ferrand

Geneviève Fioraso

Hugues Fourage

Jean-Marc Fournel

Valérie Fourneyron

Michèle Fournier-Armand

Michel Françaix

Christian Franqueville

Jean-Claude Fruteau

Jean-Louis Gagnaire

Yann Galut

Guillaume Garot

Hélène Geoffroy

Jean-Marc Germain

Jean Glavany

Yves Goasdoué

Geneviève Gosselin-Fleury

Pascale Got

Marc Goua

Estelle Grelier

Jean Grellier

Edith Gueugneau

Élisabeth Guigou

Chantal Guittet

David Habib

Razzy Hammadi

Benoît Hamon

Joëlle Huillier

Sandrine Hurel

Christian Hutin

Monique Iborra

Françoise Imbert

Michel Issindou

Éric Jalton

Serge Janquin

Henri Jibrayel

Régis Juanico

Armand Jung

Laurent Kalinowski

Marietta Karamanli

Philippe Kemel

Chaynesse Khirouni

Bernadette Laclais

Conchita Lacuey

François Lamy

Anne-Christine Lang

Colette Langlade

Jean Launay

Jean-Luc Laurent

Jean-Yves Le Bouillonnec

Gilbert Le Bris

Anne-Yvonne Le Dain

Jean-Yves Le Déaut

Viviane Le Dissez

Michel Lefait

Dominique Lefebvre

Annie Le Houerou

Annick Le Loch

Patrick Lemasle

Catherine Lemorton

Christophe Léonard

Annick Lepetit

Jean-Pierre Le Roch

Bruno Le Roux

Arnaud Leroy

Michel Lesage

Bernard Lesterlin

Serge Letchimy

Michel Liebgott

Martine Lignières-Cassou

Audrey Linkenheld

François Loncle

Gabrielle Louis-Carabin

Lucette Lousteau

Victorin Lurel

Jacqueline Maquet

Marie-Lou Marcel

Jean-René Marsac

Philippe Martin

Frédérique Massat

Sandrine Mazetier

Michel Ménard

Patrick Mennucci

Kléber Mesquida

Philippe Nauche

Nathalie Nieson

Robert Olive

Maud Olivier

Monique Orphé

Michel Pajon

Luce Pane

Rémi Pauvros

Germinal Peiro

Hervé Pellois

Jean-Claude Perez

Sébastien Pietrasanta

Martine Pinville

Christine Pires Beaune

Philippe Plisson

Élisabeth Pochon

Napole Polutélé

Pascal Popelin

Dominique Potier

Régine Povéda

Christophe Premat

Joaquim Pueyo

François Pupponi

Catherine Quéré

Valérie Rabault

Monique Rabin

Dominique Raimbourg

Marie Récalde

Eduardo Rihan Cypel

Alain Rodet

Frédéric Roig

Bernard Roman

Gwendal Rouillard

René Rouquet

Alain Rousset

Boinali Said

Béatrice Santais

Odile Saugues

Gilbert Sauvan

Christophe Sirugue

Julie Sommaruga

Pascal Terrasse

Sylvie Tolmont

Jean-Louis Touraine

Stéphane Travert

Catherine Troallic

Cécile Untermaier

Jean-Jacques Urvoas

Daniel Vaillant

Jacques Valax

Clotilde Valter

Michel Vauzelle

Fabrice Verdier

Michel Vergnier

Patrick Vignal

Jean-Michel Villaumé

Jean Jacques Vlody

Paola Zanetti

Damien Abad

Elie Aboud

Bernard Accoyer

Nicole Ameline

Benoist Apparu

Laurence Arribagé

Julien Aubert

Olivier Audibert-Troin

Jean-Pierre Barbier

Jacques Alain Bénisti

Xavier Bertrand

Marcel Bonnot

Jean-Claude Bouchet

Valérie Boyer

Philippe Briand

Bernard Brochand

Dominique Bussereau

Olivier Carré

Gilles Carrez

Yves Censi

Jérôme Chartier

Luc Chatel

Gérard Cherpion

Guillaume Chevrollier

Alain Chrétien

Jean-Louis Christ

Dino Cinieri

Éric Ciotti

Jean-François Copé

François Cornut-Gentille

Jean-Louis Costes

Édouard Courtial

Jean-Michel Couve

Marie-Christine Dalloz

Gérald Darmanin

Olivier Dassault

Bernard Deflesselles

Lucien Degauchy

Rémi Delatte

Jean-Pierre Door

Dominique Dord

David Douillet

Marianne Dubois

Christian Estrosi

Daniel Fasquelle

Georges Fenech

François Fillon

Marie-Louise Fort

Yves Foulon

Marc Francina

Yves Fromion

Laurent Furst

Sauveur Gandolfi-Scheit

Annie Genevard

Guy Geoffroy

Bernard Gérard

Alain Gest

Daniel Gibbes

Franck Gilard

Georges Ginesta

Charles-Ange Ginesy

Jean-Pierre Giran

Philippe Gosselin

Philippe Goujon

Claude Greff

Arlette Grosskost

Serge Grouard

Jean-Claude Guibal

Christophe Guilloteau

Michel Heinrich

Michel Herbillon

Antoine Herth

Guénhaël Huet

Sébastien Huyghe

Christian Jacob

Denis Jacquat

Christian Kert

Nathalie Kosciusko-Morizet

Jacques Kossowski

Patrick Labaune

Valérie Lacroute

Marc Laffineur

Jacques Lamblin

Jean-François Lamour

Guillaume Larrivé

Charles de La Verpillière

Thierry Lazaro

Alain Leboeuf

Isabelle Le Callennec

Marc Le Fur

Bruno Le Maire

Jean Leonetti

Pierre Lequiller

Philippe Le Ray

Geneviève Levy

Gilles Lurton

Jean-François Mancel

Alain Marleix

Philippe Armand Martin

Patrice Martin-Lalande

Alain Marty

Jean-Claude Mathis

François de Mazières

Gérard Menuel

Damien Meslot

Pierre Morange

Alain Moyne-Bressand

Jacques Myard

Dominique Nachury

Yves Nicolin

Patrick Ollier

Valérie Pécresse

Jacques Pélissard

Axel Poniatowski

Josette Pons

Didier Quentin

Frédéric Reiss

Jean-Luc Reitzer

Bernard Reynès

Camille de Rocca Serra

Sophie Rohfritsch

Martial Saddier

Paul Salen

François Scellier

Claudine Schmid

André Schneider

Jean-Marie Sermier

Michel Sordi

Éric Straumann

Claude Sturni

Michèle Tabarot

Guy Teissier

Michel Terrot

Jean-Marie Tetart

Dominique Tian

François Vannson

Catherine Vautrin

Patrice Verchère

Jean-Pierre Vigier

Philippe Vitel

Laurent Wauquiez

Éric Woerth

Marie-Jo Zimmermann

Stéphane Demilly

Philippe Folliot

Meyer Habib

Francis Hillmeyer

Sonia Lagarde

Jean-Christophe Lagarde

Michel Piron

Franck Reynier

François Rochebloine

Maina Sage

Rudy Salles

André Santini

François Sauvadet

Jean-Paul Tuaiva

Philippe Vigier

François-Xavier Villain

Michel Zumkeller

Éric Alauzet

Denis Baupin

Christophe Cavard

François-Michel Lambert

François de Rugy

Jean-Noël Carpentier

Ary Chalus

Gérard Charasse

Jeanine Dubié

Olivier Falorni

Paul Giacobbi

Joël Giraud

Gilda Hobert

Jacques Krabal

Jérôme Lambert

Jean-Pierre Maggi

Jacques Moignard

Dominique Orliac

Thierry Robert

Stéphane Saint-André

Roger-Gérard Schwartzenberg

Alain Tourret

Bruno Nestor Azérot

Marc Dolez

Gabriel Serville

Sylvie Andrieux

Gilles Savary (a fait savoir qu’il avait voulu voté pour)

Ils se sont ABSTENUS :

Laurent Baumel

Nicolas Bays

Jean-Luc Bleunven

Kheira Bouziane-Laroussi

Nathalie Chabanne

Dominique Chauvel

Pascal Cherki

Laurence Dumont

Geneviève Gaillard

Daniel Goldberg

Mathieu Hanotin

Pierre-Yves Le Borgn’

Pierre-Alain Muet

Christian Paul

Patrice Prat

Marie-Line Reynaud

Denys Robiliard

Sylvain Berrios

Marc-Philippe Daubresse

Claude de Ganay

Anne Grommerch

Françoise Guégot

Philippe Houillon

Frédéric Lefebvre

Céleste Lett

Véronique Louwagie

Lionnel Luca

Thierry Mariani

Olivier Marleix

Alain Marsaud

Pierre Morel-A-L’Huissier

Bernard Perrut

Christophe Priou

Arnaud Robinet

Fernand Siré

Jean-Sébastien Vialatte

Jean-Luc Warsmann

Thierry Benoit

Laurent Degallaix

Véronique Massonneau

Barbara Pompili

Gilles Bourdouleix

Il n’a PAS VOTE :

M. Claude Bartolone (Président de l’Assemblée nationale).

Dites leur que vous les aimez

Publié le 27 avril 2015 par Zythom

Chaque année, le 27 avril, j’ai une pensée émue pour l’un de mes étudiants qui s’est donné la mort l’année de ses 20 ans. Il venait de finir son stage avec moi et laissait à ses parents une lettre d’adieu dans laquelle il expliquait son mal de vivre. Dans cette lettre, il mentionnait mon nom et son stage comme étant l’un des rares moments où il avait cru en lui.

Je n’ai pas su voir son mal être.

Vous qui me lisez aujourd’hui, pensez à vos amis et proches qui sont toujours à vos côtés et dites leur que vous les aimez.

Stéphane, tu auras toujours 20 ans dans mon cœur.

Le chant des sirènes

Publié le 23 avril 2015 par Zythom

Je suis responsable de tous les problèmes informatiques et techniques de l’école d’ingénieurs où je travaille (bon, en vrai, je suis soutenu par six techniciens qui font un boulot formidable). Cela inclut l’entretien des espaces verts, l’accessibilité, les parkings, le chauffage, la ventilation, l’hygiène, le nettoyage, la téléphonie, la reprographie, les serveurs, le réseau, la sécurité incendie, la sécurité des biens, etc.

Et donc, alors que je travaillais ~~tranquillement~~ dans mon bureau, j’entends soudainement le bruit des sirènes d’alarme des pompiers… Je regarde ma montre : il est 15h13, et nous ne sommes pas le 1er mercredi du mois !

J’écoute attentivement le signal d’alarme : cinq hululements sinistres d’environ sept secondes. Le tout répété plusieurs fois…

Il se passe quelque chose.

Il se passe quelque chose, mais je ne sais pas quoi !

Parmi la multitude des casquettes de responsabilité que je porte, j’enfile celle de responsable de la sécurité des personnes. Je jette un œil à la page Wikipédia consacré aux alertes à la population. Et je prends une décision : il faut confiner l’ensemble des étudiants et du personnel dans les bâtiments de l’école.

Me voici en train de faire le tour des bureaux en demandant la fermeture immédiate des fenêtres. J’explique rapidement la situation : sirènes d’alerte à la population = confinement. Tout le personnel obtempère sans broncher.

Je me saisis du mégaphone qui me sert pour communiquer lors des exercices incendies et me précipite à l’extérieur pour demander aux étudiants (en pause) de rentrer rapidement dans les locaux de l’école. Les étudiants obéissent, en traînant les pieds et en rigolant. Les fumeurs râlent.

Je demande ensuite à mon équipe technique d’arrêter toutes les ventilations du bâtiment. En quelques minutes, toutes les climatisations et tout le système de circulation d’air est arrêté.

Je souffle un peu.

Il faut que j’écoute la radio. Zut, je n’ai pas de radio, encore moins en grandes ondes… Je cherche sur internet. France Inter et France Info sont en grèves. Pas de bol. Je zappe sur des radios locales : il n’y a que de la musique et des animateurs anormalement normaux.

Les sirènes se sont tues. J’attends le signal de fin d’alerte qui ne vient pas. Je vérifie sur internet : nous avons plusieurs usines de type « Sévezo » dans le coin. Un incident est toujours possible.

J’appelle la préfecture. Le planton me dit qu’il n’est pas au courant. En désespoir de cause, je me résous à appeler le 18, ce qu’il ne faut bien entendu jamais faire pour ne pas surcharger les liaisons.

Bingo : il s’agit d’un simple essai de sirènes suite à un remplacement à neuf. Sauf que nous n’étions pas prévenus…

Je me suis fendu d’un email d’explications à toute la communauté, dans lequel j’ai rappelé les consignes de bases dans ce type d’exercice. J’en profite pour le rappeler ici, si cela peut servir un jour à quelqu’un :

Si vous entendez les sirènes d’alerte à la population, et qu’il n’est pas midi le premier mercredi du mois, il faut vous abriter rapidement à l’intérieur d’un bâtiment.

Extrait de Wikipédia :

Lorsque le signal d’alerte retentit, les personnes sont invitées

à se confiner dans l’endroit clos le plus proche (domicile, lieu
public, entreprise, école…) en colmatant les ouvertures, en coupant
les ventilations, climatiseurs et chauffages, et en restant loin des
fenêtres ;
à s’abstenir de faire des flammes, de fumer, d’ouvrir les fenêtres ;
à s’abstenir de téléphoner (ni téléphone fixe, ni téléphone mobile)
sauf détresse vitale, afin de laisser les lignes libres pour les
secours ;
et à écouter la radio : France Inter sur grandes ondes (1 852 m, 162 kHz) : il s’agit de la radio de service public, et en cas de destruction de l’émetteur en modulation de fréquence (FM) le plus proches, l’émission en grandes ondes peut toujours être captée ; à défaut, écouter France Info ou les radios locales. La station répétera en boucle la situation et les consignes à suivre.

Les enfants scolarisés sont pris en charge par l’école, c’est le lieu
où ils sont le plus en sécurité. Il est donc dangereux et inutile
d’aller les chercher.

La fin de l’alerte est indiquée par un signal continu de trente
secondes.

Extrait de interieur.gouv.fr :

Ce qu’il faut faire

La mise à l’abri est la protection
immédiate la plus efficace. Elle permet d’attendre dans les meilleures
conditions possibles l’arrivée des secours.

Au signal, il faut :

rejoindre sans délai un local clos, de préférence sans fenêtre, en
bouchant si possible soigneusement les ouvertures (fentes, portes,
aérations, cheminées…).
Arrêter climatisation, chauffage et ventilation.
Se mettre à l’écoute de la radio : France Inter, France Info ou des radios locales.

Ce qu’il ne faut pas faire

rester dans un véhicule.
Aller chercher ses enfants à l’école (les enseignants se chargent de leur sécurité).
Téléphoner (les réseaux doivent rester disponibles pour les secours).
Rester près des vitres.
Ouvrir les fenêtres pour savoir ce qui se passe dehors.
Allumer une quelconque flamme (risque d’explosion).
Quitter l’abri sans consigne des autorités.

La sécurité est l’affaire de chacun, il est normal de s’y préparer.

L’alerte est destinée à prévenir de l’imminence d’une situation mettant
en jeu la sécurité de la population et permet de prendre immédiatement
les mesures de protection.
Elle peut être donnée pour signaler un
nuage toxique ou explosif, un risque radioactif, une menace d’agression
aérienne, certains risques naturels.

—————————————————–

Et évidemment, si vous êtes responsable de la sécurité, attendez-vous à être ridicule quand vous agissez alors qu’il s’agit d’un test anodin et que vous n’avez pas été prévenu…

Ce qui m’a fait plaisir, c’est que plusieurs personnes ont répondu à mon email pour me féliciter et me dire qu’elles se sentaient en sécurité de savoir que quelqu’un veillait sur eux.

Et ça, ça efface bien le sentiment d’être ridicule 🙂

GNU/Linux et la vente liée

Publié le 14 avril 2015 par Zythom

J’ai découvert GNU/Linux en 1993, avec une distribution qui s’appelait Yggdrasil. Il s’agissait pour moi de trouver un remplacement à l’HP-UX que j’avais connu dans ma vie professionnelle précédente. Puis, toujours pour des raisons professionnelles, j’ai adopté pendant plusieurs années la distribution Slackware, pour migrer ensuite vers le Chapeau Rouge et enfin vers la distribution Debian qui équipe maintenant tous mes serveurs GNU/Linux pro.

En parallèle, j’ai joué avec Nextstep, FreeBSD, Solaris et NetBSD, pour différentes raisons, mais c’est surtout l’univers des différentes distributions GNU/Linux qui m’a attiré : j’aime bien de temps en temps installer une distribution pour voir comment elle fonctionne. Je teste un peu de tout, mais pas tout, car vous trouverez une liste impressionnante des différentes distributions sur cette page Wikipédia.

Certaines distributions sont spécialisées dans l’inforensique, comme DEFT. D’autres dans la protection de la vie privée, comme Tails. Enfin, certaines sont adaptées à un usage grand public, comme Ubuntu, que j’ai choisie pour mon ordinateur personnel.

Tout est affaire de choix, et chaque distribution a sa communauté et ses passionnés. Mais, si je suis un utilisateur converti depuis longtemps, je n’ai jamais fait parti des contributeurs, c’est-à-dire que je n’ai jamais participé au développement, aux tests, à la documentation, aux traductions, etc. Peut-être puis-je me targuer d’en avoir parlé autour de moi, et d’avoir incité mes étudiants à s’en servir. Mais le fait de ne pas contribuer me rend un peu mal à l’aise…

C’est pourquoi, le jour où un avocat m’a contacté pour me demander de faire une analyse technique en tant qu’expert, avec comme objectif de lutter contre la vente forcée du système d’exploitation lors d’un achat de matériel informatique, j’ai tout de suite répondu présent.

C’était la chance de ma vie pour apporter ma pierre à l’édifice.

C’était le projet qui allait marquer ma vie d’expert de justice.

C’était le moyen de détrôner Windows de son hégémonie et rendant le choix possible pour le consommateur.

J’étais chaud bouillant.

Hélas, le problème est plus complexe qu’il n’y paraît. Comment évaluer la simplicité d’installation d’une distribution sur un ordinateur ? Quelle distribution faut-il tester ? Sur quels ordinateurs faut-il faire les tests pour prétendre être exhaustif ? Combien d’ordinateurs, quelles marques ? Etc.

Est-il possible d’écrire un rapport technique objectif prouvant la vente liée ?

Il est beaucoup plus simple de trouver un ordinateur récent et d’installer plusieurs distributions pour en trouver quelques unes qui ne s’installent pas correctement… Il y a souvent un « truc » propriétaire sur l’ordinateur (par exemple des boutons sur un portable) qui ne sera pas reconnu par le système d’exploitation si le constructeur ne fournit pas le bout de programme ad-hoc. Et le temps que la communauté développe le pilote manquant, un certain nombre de consommateurs peuvent s’estimer floués…

En 2008, Darty avait été poursuivi par l’association UFC-Que Choisir pour vente liée PC et logiciels, mais le tribunal l’avait déboutée (lire ici). La société Darty avait quand même été condamnée à détailler le prix des logiciels installés sur un PC. Cette obligation avait été retirée en appel.

Le jugement d’appel peut être lu ici (pdf).

J’en reproduit ici un extrait qui me semble intéressant :

Darty justifie d’ailleurs que ces ordinateurs, ainsi équipés, lui sont facturés globalement, sans distinction entre le prix de l’ordinateur et celui des logiciels, et que ses demandes pressantes adressées le 26 juin 2008 à ses fournisseurs (Toshiba, Asus, Apple, Packard Bell, Sony, Hewlett Packard, Fujitsu-Siemens et Acer), dans le but de satisfaire à l’injonction du tribunal, sont demeurées vaines, Apple ayant répondu que ses logiciels, conçus par elle, ne sont pas vendus séparément, Hewlett Packard ayant fait valoir que « les logiciels qu'(elle) se procure en très grandes quantités pour en équiper ses ordinateurs doivent être distingués de ceux disponibles dans le commerce et que ces composants ne font pas l’objet d’une commercialisation séparée » et qu’elle estimait en conséquence que « le prix des logiciels dont elle équipe ses machines et dont elle n’est pas par ailleurs revendeur est un élément de la structure du coût de ses ordinateurs et relève du secret des affaires », et les autres n’ayant tout simplement pas accédé à sa requête;

Où en est-on en 2015 ? Je ne suis pas juriste, donc, je ne peux pas vous dire dans quel sens les textes de loi ont évolué. J’espère que le moment est venu de se reposer la question de la vente liée.

Il faudrait sans doute définir dans la loi plusieurs sortes de consommateurs : celui qui souhaite une machine « clef en main » et celui qui peut accepter une machine nue, avec une réduction de prix, même modique. Il faudrait que les constructeurs fournissent les pilotes de leur matériel propriétaire. Il faudrait que les constructeurs acceptent d’installer plusieurs systèmes d’exploitation en OEM pour assurer la pleine exploitation de leurs machines et l’égalité des armes.

La gratuité annoncée de Windows 10 va peut-être débloquer cette situation, développer les parts d’utilisation des OS alternatifs et permettre au consommateur d’avoir le choix. La guerre des OS n’est pas prête de s’arrêter.

Pour l’instant, ce projet d’expertise est en attente, et je me contente de contribuer au point n°10 de cette liste, et d’acheter mes ordinateurs nus sur les sites qui le proposent.

En attendant mieux.

Désolé.

————————————————-

Source dessin : Bruno Bellamy

Scam parlementaire

Publié le 7 avril 2015 par Zythom

Attention, il est possible que ce message circule sur certaines boites aux lettres, restez vigilant…

————————————————–

Monsieur le Député,

Je vous écris dans le but d’obtenir votre coopération et votre confiance en vue d’effectuer une affaire urgente avec vous, c’est une proposition sincère et noble que je vous fais. Je souhaite solliciter votre aide dans la migration technique et l’investissement dans votre pays l’héritage qu’a pu me léguer mon Père.

Brièvement, je suis une libyenne âgée de 51 ans et fille unique du défunt Dr Serge Alexandre Stavisky. Jusqu’à sa mort, mon père était le Directeur général d’une société informatique dans la région de Tajoura en Libye. Le 6 Avril 2002 les forces militaires fidèles au gouvernement ont envahi la société et ont assassiné mon père, le confondant avec son demi frère Helg de la Brache qui est le député du révolutionnaire FODAY BRACHE. Quand ma mère, absente car venue me voir en Chine où j’étudie dans une grande école a appris la nouvelle, elle est retournée au pays malgré tous les risques et a récupéré certaines des affaires qu’elle jugeait sacrées pour mon père dans notre villa familiale. Parmi les objets récupérés figurait un dossier contenant des détails d’un dépôt que mon père a fait dans une société de compagnie de sécurité à Tajoura. Il y a déposé une quantité importante de boites noires contenues dans une caisse métallique en son nom.

Il n’a pas révélé le vrai contenu de la boîte à cette société. Néanmoins il a déclaré le dépôt comme biens de famille pour des raisons de sécurité. C’est l’épargne qu’a pu constituer mon Père à l’issue de la vente des brevets pendant son temps comme Directeur général. Compte tenu du climat politique instable en Libye, j’ai décidé de chercher un partenaire afin d’investir cette technologie hors de la Libye dans des domaines rentables, c’est donc la raison pour laquelle je viens vers vous pour solliciter votre assistance et nous aider à introduire cette technologie dans votre pays. La meilleure méthode pour conclure cette transaction vue la tension politique en Libye, serait d’expédier la caisse contenant les boites noires dans votre pays.

La compagnie de sécurité a la possibilité de nous faciliter les choses en expédiant cette caisse dans votre pays par la voie diplomatique que j’apprécie beaucoup. Dès l’arrivée de ces outils dans votre pays, vous allez les récupérer et les sauvegarder et engager les démarches pour nous aider à venir s’établir dans votre pays. Ici en raison de sa proximité à notre pays et de la guerre, notre statut de réfugié ici ne peut pas faciliter les affaires pour nous. Nous vous demandons également de rechercher des affaires fiables et lucratives, de sorte que nous puissions investir sagement. Nous avons à l’esprit de vous donner 15 % de toute la somme et la part de 25% dans n’importe quel investissement que nous ferons au moment venu si vous acceptez de nous aider. Cette fortune que nous vous avons indiquée devrait demeurer confidentielle.

Cher partenaire restant à votre entière disposition pour d’amples informations fiables, recevez l’assurance de mes sincères salutations.

Bien à vous, et votez bien,

Victoria Lustig

————————————————–

Pourvu que personne ne se fasse avoir…

Pour éviter ce genre de piège, surtout quand on est député, toujours relire la notice.

Face à TrueCrypt

Publié le 31 mars 2015 par Zythom

Il y a un grand nombre de cas où l’on souhaite protéger efficacement des données : c’est vrai pour un journaliste, pour un avocat, pour un activiste des droits de l’Homme, pour un médecin, pour un homme politique… C’est vrai aussi tout simplement pour toutes les personnes qui souhaitent protéger des regards envahissants certaines de leurs données privées.

Car je pense réellement que la vie privée mérite d’être protégée, et qu’il faut que chacun apprenne à sécuriser les données personnelles qu’il souhaite garder confidentielles. Personne ne souhaite voir l’État placer un micro et une caméra dans sa chambre à coucher. Nous avons tous beaucoup de choses à cacher, à commencer par notre vie intime. Je pense d’ailleurs que les choses seraient plus claires si l’on parlait de « vie intime » plutôt que de « vie privée » (c’est à cela que l’on voit que je ne suis pas juriste).

Sur ce sujet, j’ai écris en 2010 un billet consacré à ceux qui ont peur de se faire voler leur ordinateur, et dans lequel je conseillais l’utilisation du logiciel TrueCrypt. Je continue d’ailleurs à utiliser la version 7.1a de ce logiciel pour mes besoins personnels, avec containers cachés (ou pas ;-), malgré l’arrêt brutal du développement de ce logiciel et la sortie d’une version 7.2 bridée. Ceux qui souhaitent apprendre à utiliser ce logiciel, peuvent suivre cette série de billet de la blogueuse Kozlika après avoir téléchargé la version 7.1a sur ce site.

J’utilise TrueCrypt v7.1a pour protéger des disques complets, mais aussi créer de petits espaces de stockage de quelques gigaoctets sous forme de fichiers.

Je suis régulièrement contacté par des lecteurs qui me demandent si je suis déjà tombé sur des fichiers ou des disques chiffrés par TrueCrypt et si j’ai déjà réussi à ouvrir ces fichiers, sans que le propriétaire n’ait fourni le(s) mot(s) de passe.

Avant de répondre à cette question, je tiens à rappeler que je suis un informaticien tout ce qu’il y a de plus normal : je suis salarié dans une entreprise privée de formation où j’occupe un poste d’ingénieur en informatique.

Je n’ai pas suivi de formation particulière en cryptanalyse.

Je n’ai pas accès à des outils secrets.

Aucun gouvernement ne m’a confié l’accès à d’éventuelles portes dérobées.

Je ne suis pas un spécialiste en sécurité informatique.

Bref, je suis parfois déçu quand je me regarde dans une glace, mais je suis un informaticien normal : j’aime bien bidouiller un ordinateur, peaufiner une configuration, installer un nouveau système d’exploitation. J’aime bien les jeux vidéos, la science fiction, l’espace, la spéléo, l’aviron… J’aime les ordinateurs, Windows 98, j’ai fait des concours de calculatrices, je suis vraiment trop con, j’ai fait le concours du robot, qui balancera des balles en haut… (source).

Je n’ai pas plus de moyens qu’un informaticien lambda.

Que se passe-t-il alors lorsque je tombe sur un scellé qui contient des données chiffrées avec TrueCrypt ?

Réponse : rien. Je ne peux rien faire sans avoir le mot de passe. Et encore, je peux avoir un mot de passe qui ouvre le container TrueCrypt, mais pas le container caché. Je n’ai pas de code secret universel, ni de logiciel spécial me permettant d’accéder aux données. Je ne dis pas qu’ils n’existent pas, je dis que je n’y ai pas accès.

Pour autant, je ne baisse pas les bras immédiatement :

– je peux regarder si des données non chiffrées sont présentes et accessibles sur le disque dur (lire le billet intitulé « disque dur chiffré« ).

– je peux chercher tous les mots de passe de l’utilisateur, mots de passe stockés sur internet ou sur d’autres ordinateurs non chiffrés. Sachant que beaucoup de personnes n’utilisent que quelques mots de passe, la probabilité de trouver des mots de passe ouvrant les containers TrueCrypt est forte. Lire par exemple ce billet intitulé « Perquisition« .

– je peux passer par l’enquêteur pour qu’il demande les différents mots de passe à l’utilisateur.

– je peux suspecter un fichier d’être un container TrueCrypt (avec TCHunt par exemple).

Mais si je découvre un mot de passe ouvrant un container TrueCrypt, je n’aurais pas la certitude qu’il n’existe pas un container caché (ie utilisant un autre mot de passe). J’ai une petite astuce qui me permet de flairer la présence d’un container caché : si les dates des quelques fichiers présents sur le container que j’ai réussi à ouvrir sont toutes anciennes, c’est bizarre…

Vous l’aurez compris, la protection de la vie privée et de la confidentialité assurée par TrueCrypt est exemplaire, sauf révélation surprise de l’audit de sécurité de son code [Edit du 03/04/2015: rapport d’audit (source)]. C’est à double tranchant : cela permet à un innocent de protéger ses données confidentielles, mais cela permet également à un coupable de soustraire des preuves à la justice.

Et comme la protection absolue n’existe pas, le coupable sera toujours démasqué un jour ou l’autre. C’est ce que savent également ceux qui luttent contre des régimes totalitaires et tentent de cacher des documents à des yeux trop curieux… Deux tranchants.

Quelques remarques pour finir :

Est-on obligé de fournir les mots de passe ?

Les députés français ont décidé que oui : article 434-15-2 du Code Pénal

Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le
fait, pour quiconque ayant connaissance de la convention secrète de
déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé
pour préparer, faciliter ou commettre un crime ou un délit, de refuser
de remettre ladite convention aux autorités judiciaires ou de la mettre
en œuvre, sur les réquisitions de ces autorités délivrées en
application des titres II et III du livre Ier du code de procédure
pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime
ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans
d’emprisonnement et à 75 000 euros d’amende.

La jurisprudence de la Cour Européenne des Droit de l’Homme sur la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales rappelle, elle, le droit de ne pas participer à sa propre incrimination, et en particulier le droit de garder le silence et de ne pas communiquer des documents s’incriminant.

L’article 132-79 du Code Pénal français, augmente les peines encourues (texte en gras modifié par mes soins pour plus de clarté) :

Lorsqu’un moyen de cryptologie au sens de l’article 29
de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie
numérique a été utilisé pour préparer ou commettre un crime ou un
délit, ou pour en faciliter la préparation ou la commission, le maximum
de la peine privative de liberté encourue est relevé ainsi qu’il suit :

1° trente ans de réclusion criminelle → perpétuité ;

2° vingt ans → trente ans ;

3° quinze ans → vingt ans ;

4° dix ans → quinze ans ;

5° sept ans → dix ans ;

6° cinq ans → sept ans ;

7° Il est porté au double lorsque l’infraction est punie de trois ans d’emprisonnement au plus.

Les dispositions du présent article ne sont toutefois pas
applicables à l’auteur ou au complice de l’infraction qui, à la demande
des autorités judiciaires ou administratives, leur a remis la version en
clair des messages chiffrés ainsi que les conventions secrètes
nécessaires au déchiffrement.

Enfin, l’article 230-1 du Code Pénal français précise dans son dernier alinéa :

Si la peine encourue est égale ou supérieure à deux ans d’emprisonnement
et que les nécessités de l’enquête ou de l’instruction l’exigent, le
procureur de la République, la juridiction d’instruction, l’officier de
police judiciaire, sur autorisation du procureur de la République ou du
juge d’instruction, ou la juridiction de jugement saisie de l’affaire
peut prescrire le recours aux moyens de l’État soumis au secret de la
défense nationale selon les formes prévues au présent chapitre.

Je précise n’avoir jamais eu accès aux « moyens de l’État soumis au secret de la défense nationale » (en dehors de mon service militaire, mais bon, c’était au millénaire précédent). Je ne vous cache pas que je n’ai aucune idée des moyens en question et que probablement je ne le saurai jamais.

Quand je n’arrive pas à accéder à des données à cause d’un chiffrement trop puissant, je l’indique dans mon rapport.

A l’impossible nul n’est tenu.

Et parfois, ce n’est sans doute pas plus mal, au moins pour moi.

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire