Le dernier maillon…

Publié le par

Cette année 2013 a jusque là été plutôt chargée, tant du point de vue professionnel, que du point de vue des expertises judiciaires ou de la préparation de la campagne des élections municipales… C’est aussi une bien belle année du côté privé, avec par exemple l’arrivée des 50 ans et la fête que mes amis viennent de m’offrir 😉

Dans les semaines qui viennent, je vais essayer de profiter de ma petite famille. Je vais donc délaisser un peu ce blog. Mais je sais que vous avez de la lecture avec la parution récente du tome 4, qui permet aux retardataires d’avoir une lecture ciblée de billets sélectionnés. Je remercie au passage tous ceux qui ont acheté ou téléchargé les différents tomes du blog. Cela me fait plaisir de voir que ce modeste blog perso suscite un tel intérêt.

Du coup, je vous ai programmé
quelques billets qui sont des rediffusions d’anciens billets du blog
auxquels je souhaite donner une seconde chance, en général parce qu’ils
ont une place particulière dans mon cœur. Pour repérer rapidement ces
rediffusions, je commencerai toujours les billets par « Dans le cadre des
rediffusions estivales » 😉

Dans le cadre des rediffusions estivales, le billet du jour, publié en août 2009, raconte une anecdote judiciaire où j’ai voulu mettre en avant le rôle des petites mains qui forment souvent le cœur des entreprises. C’est un billet pour lequel j’ai une certaine tendresse.

Bonne (re)lecture.

—————————————

Elle venait d’entrer dans la salle, impressionnée par tant de personnes.

La réunion durait depuis plusieurs heures, j’avais écouté toutes les
explications fournies par les parties, et je ne comprenais toujours pas
pourquoi les deux entreprises en étaient arrivées là.

J’avais surtout compris que le support informatique effectué par la
société de service ne s’était pas déroulé correctement et que les deux
entreprises étaient maintenant au bord du gouffre, l’une parce qu’elle
avait perdu toute ses données et l’autre son plus gros client.

Mais après avoir écouté, dans l’ordre de bienséance hiérarchique, les
grands patrons, puis les avocats, les chefs de service et les chefs de
projet, je ne comprenais pas ce qui avait fait tout capoter.

On me parlait de milliers d’euros de pertes par jour, de licenciements,
de dépôt de bilan. Et moi, je ramenais toujours les débats sur le
terrain de l’expertise judiciaire en informatique,
rappelant que mes missions n’incluaient pas l’analyse comptable et
financière de la situation, mais la recherche des causes techniques
(exclusivement).

Bon, j’avais compris dès le début de la réunion que les rapports humains
s’étaient vite envenimés dans cette affaire qui aurait peut-être pu se
régler plus simplement et plus rapidement si les deux parties avaient
usées d’un peu plus de diplomatie…

Enfin quoi, un serveur ne tombe pas en panne en même temps que son
système de sauvegarde: disques durs en miroir (RAID1), sauvegardes
quotidiennes complètes avec rotation sur trois bandes, archivage d’une
bande chaque semaine hors site.

La société de service me décrit un système de sécurité des données
infaillibles, et un suivi des procédures avec traçabilité, etc. « Nous
sommes certifiés ISO machin, vous comprenez, notre société est au
dessus de tout soupçon, nous n’employons que des personnes compétentes,
suivant des formations régulièrement, nous avons mis en place un système
de télésurveillance avec prise de contrôle à distance qui nous permet
de faire des interventions en un temps record… » m’a expliqué de long en large le patron de la SSII.

« Nous payons très cher un service support qui n’a pas été capable d’empêcher ce désastre… »
Me dit le patron de l’entreprise, entre deux invectives, au milieu de
reproches divers sans rapport avec l’affaire qui nous concerne.

Nous avions passé en revu l’accès distant du support via internet, les
fiches ISO machin d’intervention des techniciens, les rapports, les
dossiers techniques, les courriers recommandés.

Moi, je voulais voir la personne qui avait appelé le support…

Elle venait d’entrer dans la salle, impressionnée par tant de personnes.

Je lui pose les questions d’usage: prénom, nom et intitulé de la
fonction au sein de l’entreprise. Dans un silence à la tension palpable,
elle me raconte sa version de cette journée noire.

Elle: « Comme d’habitude, avant de
partir déjeuner, j’ai mis la bande dans le serveur et lancé la
sauvegarde. Je sais que c’est une opération importante alors je la fais
toujours avec précautions. Mon chef m’a dit que les bandes étaient très
chères. »

Moi: « Comment saviez-vous que c’était la bonne bande à placer dans le boîtier? »

Elle: « Les bandes sont numérotées et je dois mettre la bande correspondant au numéro du jour. »

Moi: « Pouvez-vous préciser? J’avais cru comprendre qu’il n’y avait que trois bandes. »

Elle: « Oui, mais la bande numéro 3 a
été mise de côté par le comptable après la clôture des comptes. Il m’a
dit de mettre la bande numéro 1 les jours impairs et la bande numéro 2
les jours pairs. J’ai trouvé cela astucieux, car avant, je devais à
chaque fois noter dans un cahier le numéro de la bande utilisée. »

Moi: « Montrez-moi ce cahier, s’il vous plaît. Donc depuis huit mois les
sauvegardes ne se faisaient que sur deux bandes. Pouvez-vous me dire ce
qui c’est passé à votre retour de pause déjeuner? »

Elle: « Les assistants m’ont appelé
pour me dire que leurs terminaux ne fonctionnaient plus et pour me
demander de redémarrer le serveur. J’y suis allé et j’ai vu que l’écran
était tout bleu avec des inscriptions que je n’ai pas comprises. Avant
de redémarrer le serveur, j’ai appelé le support. Le technicien m’a dit
que cela arrivait de temps en temps et qu’il fallait que je redémarre le
serveur. Je lui ai dit que la sauvegarde ne s’était pas terminée
correctement. Il m’a dit de la relancer. »

Moi: « Vous avez utilisé la même bande? »

Elle: « Oui. C’est d’ailleurs ce que
m’a demandé le technicien lorsque je l’ai rappelé une heure plus tard
pour lui dire que de nouveau plus rien ne fonctionnait et que la
sauvegarde s’était encore mal terminée. Il m’a alors indiqué que la
bande devait être défectueuse et que c’est ça qui devait « planter » le
serveur. Il m’a alors recommandé d’utiliser une autre bande. C’est pour
cela que j’ai mis la bande n°2 alors que ce n’était pas le bon jour. »

Moi: « Vous n’avez pas de bandes neuves? »

Elle: « On ne m’en a pas donné et j’ai cru que c’était parce qu’elles coûtaient cher. »

Moi: « Mais, quand votre chef vous a dit qu’elles avaient de la valeur,
ne voulait-il pas dire cela à cause des données qui étaient stockées
dessus? »

Elle: « Ce n’est pas ce que j’ai compris. On m’a dit qu’elles étaient chères… »

Moi: « Mais en mettant la deuxième bande, ne vous êtes-vous pas dit que
si elle venait également à être effacée, il n’y aurait plus de
sauvegarde? »

Elle: « Non, je n’ai fait que suivre les indications du support… »

Je l’ai regardé sortir de la salle et j’ai eu une pensée émue pour les
gens qui sont les derniers maillons de la chaîne de commandement, les
petites mains. Ce sont souvent elles qui ont les plus grandes
responsabilités in fine.

Mais je n’ai pas oublié l’ensemble des décideurs:

– un disque dur en miroir sans remontée d’alertes et sans surveillance.
Résultat: depuis plusieurs mois, l’un des deux disques était en panne.
Il ne restait plus qu’à attendre la panne du deuxième, ce qui venait
d’arriver pendant le stress généré par la sauvegarde.

– une mauvaise formation des employés concernant le système de
sauvegarde (et le coût des bandes en regard du coût de la perte des
données). Ils n’avaient pas conscience que lorsqu’une sauvegarde
démarre, elle écrase les données précédentes. Si elle est interrompue
brutalement, la bande est inexploitable. Deux bandes inexploitables à
cause d’un disque en train de tomber en panne et toutes les données sont
perdues…

– une prise de contrôle à distance inopérante en cas d’écran bleu qui aurait du déclencher la venue en urgence d’un technicien.

– la décision du support de sacrifier une deuxième bande de sauvegarde
sans s’être renseigné sur l’existence d’une autre bande de sauvegarde récente et en état.

– la décision de retirer une bande du jeu de trois sans prévenir le
support, surtout quand cela annule la sauvegarde hebdomadaire avec
déport hors site.

– l’absence totale d’exercice de restauration de données et de tests des bandes utilisées.

– la situation de quasi abandon du serveur du point de vue physique avec
traces de serpillière sur la carcasse posée à même le sol et sur la
multiprise parafoudre…

Il y avait beaucoup de choses à dire sur le respect de l’état de l’art
par les deux entreprises. Il y a de nombreuses fois où je n’envie pas le
juge qui doit trancher. Je me contente de rester un simple technicien
de l’informatique.

Mais j’ai encore aujourd’hui une pensée pour le dernier maillon de la
chaîne, celui à qui on dit d’appuyer sur le bouton et qui fait tout
exploser…

———————–

Source image xkcd

Les innocents

Publié le par

Lorsqu’un enquêteur me confie un scellé, celui-ci est bien entendu accompagné d’une mission, comme par exemple : « fournir tous les éléments en rapport avec les faits ». Ce type de mission présente une particularité redoutable : il est impossible de prévoir le temps que l’on va mettre pour analyser le contenu du scellé…

Prenons un exemple. Je suis contacté par téléphone par un enquêteur, en général un gendarme ou un policier. Celui-ci évoque quelques éléments de son dossier en rapport avec la mission qu’il compte me confier. Souvent l’enquêteur me demande conseil sur la rédaction exacte de la mission, pour ne pas faire de bourde (exemple de bourde : « imprimer sur papier toutes les images retrouvées ». Je DOIS effectuer la mission, même s’il y a 20 000 images !).

L’enquêteur aime également être précis sur les termes techniques qu’il va utiliser pour décrire la mission, surtout dans un domaine qu’il ne maîtrise pas forcément. Encore que dans le domaine de l’informatique, gendarmes, policiers et magistrats ont énormément progressé ces dernières années. Je trouve de moins en moins de scellés sans disque dur… Et de plus en plus de scellés avec leurs périphériques USB !

Mais je n’arrive quasiment jamais à avoir une réponse à cette question simple : quelle est la taille du ou des disques durs.

Prenons un exemple plus précis : l’enquêteur m’explique que le propriétaire de l’ordinateur est soupçonné d’échanger des images pédopornographiques. Son ordinateur a été placé sous scellé et ma mission, si je l’accepte, est la suivante (vous remarquerez qu’en fait, il y a plusieurs missions):

– réceptionner le scellé et le briser

– faire une copie des données numériques présentes sur les disques durs présents dans le scellé

– rechercher toutes traces d’images pédopornographiques

– rechercher tous les échanges effectués en rapport avec ces images (emails, sites internet, chat, etc.)

– fournir tous les éléments en rapport avec les faits

– placer sur cédérom ou dvd tous les éléments trouvés, en deux exemplaires

– reconstituer le scellé et rédiger un rapport.

En général, l’enquêteur arrive assez vite sur ce qu’il a en tête depuis le début de la conversation : « acceptez-vous la mission ? ».

A ce stade, j’essaye d’en savoir un peu plus : système d’exploitation, taille des disques durs… En général sans succès. J’essaye aussi de négocier la livraison du scellé à mon domicile (souvent possible, mais de moins en moins).

Mais avant tout cela, il me faut accepter la mission et établir un devis, qui doit aussi être accepté par le magistrat qui supervise l’enquête pour que l’expertise démarre. Autant vous dire que le devis est parfaitement pifométrique au nez doigt mouillé. Dans l’affaire qui m’intéresse, j’ai estimé l’analyse à environ 20 heures de travail, parce que je suis un grand naïf et que je me refuse à établir des devis plus réalistes…

Après prise de rendez-vous et dépôt d’une demi-journée de congés payés, le jour J, à l’heure H prévue, l’enquêteur est à ma porte, avec le scellé. Il vérifie mon identité avec un lecteur d’empreinte rétinienne en me demandant mon nom, et je signe les papiers d’acceptation de mission et de réception du scellé.

Il ne me reste plus qu’à jeter le scellé sur un mur pour le briser, et ma première mission est terminée. Je plaisante. J’ouvre le scellé en coupant le cordon de l’étiquette jaunie par le temps (ce type d’étique date probablement du milieu du siècle dernier) attachée subtilement autour de l’ordinateur. Sache, jeune padawan enquêteur, que je m’amuse beaucoup à essayer d’accéder à l’ordinateur SANS briser le scellé. Seul un Chevalier Jedi sait emmailloter correctement un scellé pour que PERSONNE ne puisse l’ouvrir sans le briser.

On s’amuse comme on peut.

C’est à ce moment-là, dans l’affaire en question, que je me suis rendu compte que le scellé contenait un disque dur de 3 To…

Bien bien bien. Je m’équipe comme il faut d’un nouveau NAS pour absorber l’image du disque dur, plus toutes les données extraites. Soit environ 6 To. Rien que ce travail là m’a pris un mois. Entre réglages, tests divers, hésitations, mesures de performances, le temps s’écoule très vite le soir et les week-ends (n’oubliez pas que le reste du temps j’ai un vrai métier).

Je procède, la main tremblante, à la copie du disque dur. Tout est fait pour qu’il ne tombe pas en panne à ce moment là : ventilateur, onduleur, encens et divers rites liés à ma foi. La copie a duré 48h pendant lesquelles j’ai très mal dormi.

Voici venu le temps de l’exploration préalable de la copie du disque dur. C’est un moment que j’aime bien : en effet, au cœur des ténèbres, j’aime l’odeur du napalm au petit matin… Je me promène l’air de rien sur le disque dur pour regarder à qui j’ai affaire.

Ce disque dur avait l’air d’appartenir à quelqu’un de normal.

Mince.

Je procède alors à la récupération de toutes les images présentes sur le disque dur, effacées ou non. Me voici à la tête de dizaine de milliers d’images. Pendant des jours (en fait des nuits), je trie, je regarde, je cherche des images pédopornographiques: rien !

Je vérifie la présence de logiciels de chiffrage, de stéganographie. J’étudie en profondeur la base de registre qui garde trace de… tout en fait: clefs et disques durs USB installées et branchés, logiciels installés, supprimés, etc. Rien d’intéressant !

Je lis tous les documents doc, pdf, txt, cvs, odt, le contenu des zip, 7z, rar, etc. Nenio !

Je cherche tous les fichiers de grandes tailles, je vérifie la présence de containers TrueCrypt ou équivalent. Niente !

Je dresse la liste de tous les logiciels de communication présents (il y en a beaucoup) : Skype, Windows Live, Outlook, Firefox, Chrome, Internet Explorer… Pour chacun, je dis bien POUR CHACUN, il me faut étudier leurs traces, les messages échangés, leurs bases de données, souvent chiffrées d’une manière propriétaire.

Je commence par les outils de messagerie : déchiffrage des bases, analyse des échanges. Patiemment, outils après outils, avec l’aide des sites spécialisés en inforensique, avec les outils développés par la communauté, je cherche des échanges entre pédopornographes, des éléments en rapport avec les faits. Nichts !

L’enquêteur m’appelle de temps en temps pour me presser connaître l’état d’avancement de mes investigations. Je le tiens au courant. Si je trouve quelque chose, j’ai sa ligne directe et un forfait illimité.

J’attaque ensuite les historiques de navigation. Entre les différents comptes des utilisateurs de l’ordinateur, et les fichiers effacés, je me suis retrouvé avec 800 000 fichiers à analyser ! Cookies, URL, données des caches… Un confrère m’a orienté vers un logiciel que je ne connaissais pas : NetAnalysis. Test de la version d’essai, achat à mes frais de la licence, attente de la réception du dongle. Une fois le dongle reçu, j’analyse les données, je reconstitue les pages consultées à partir des données en cache, y compris les caches effacés. Un mois passe. Nada !

L’utilisation de l’ordinateur semble normale : du surf sur des sites pornographiques (internet, c’est pour le porno), des photos de famille, des films d’amateur, de la musique, des accès Youtube, le bon coin, Meetic. Rien d’anormal. Dim !

Je suis dans le cas de figure où l’on creuse partout sans savoir ce que l’on cherche réellement comme cadavre, dans une affaire où il n’y a pas de corps… Il faut me rendre à l’évidence, j’ai affaire à un innocent !

Mince.

Enfin.

300 heures de travail, à la recherche de preuves ignobles, la peur au ventre de tomber sur des images immondes, pour finalement me dire que l’ordinateur semble normal. Que son propriétaire est normal. Que ses utilisateurs sont normaux.

Soulagement.

Je n’ai pas pu m’empêcher néanmoins d’avoir un petit pincement au cœur quand j’ai rédigé ma note de frais et honoraires dans laquelle je mentionne 20 heures de travail. Mais j’ai travaillé pour la France, j’ai blanchi un innocent, je dispose de deux NAS performants et d’une clim pour mon bureau, j’ai appris à me servir d’un logiciel efficace acheté à mes frais. J’ai occupé mes soirées et mes week-ends.

Je suis heureux.

Mais ce sont quand même les innocents qui demandent le plus d’efforts.

————————————

Source image MegaPortail.

Tome 4

Publié le par

Après pas mal de rebondissements, le tome 4 du blog est enfin prêt 🙂

Le bébé fait 242 pages et le papa se porte bien…

Vous le trouverez au format papier pour un prix modique chez mon éditeur (cliquez sur le lien). Il agrémentera avec élégance votre bibliothèque, ou fera l’objet d’un cadeau original pour vos parents et vos amis 😉

C’est une autre façon de lire le blog et de le faire partager.

Parce que j’aime l’esprit de partage qui règne sur internet, il est également disponible sans DRM dans les formats suivants (cliquez pour télécharger) :

Pdf (2166 Ko)

Epub (278 Ko)

Fb2 (543 Ko)

Lit (413 Ko)

Lrf (532 Ko)

Mobi (578 Ko)

Papier (242 pages 😉

Bien sûr, les tomes précédents sont encore disponibles, en format papier ou électronique sur la page publications.

Avertissements :

Les habitués du blog le savent, mais cela va mieux en l’écrivant: la
publication des billets de mon blog, sous la forme de livres, est
surtout destinée à ma famille et à mes proches. C’est la raison pour
laquelle j’ai choisi la démarche d’une autopublication. J’ai endossé
tous les métiers amenant à la publication d’un livre, et croyez moi, ces
personnes méritent amplement leurs salaires! Mise en page, corrections,
choix des titres, choix des couvertures, choix du format, choix des
polices de caractère, marketing, numérisation, etc., sont un aperçu des
activités qui amènent à la réalisation d’un livre. Je ne suis pas un
professionnel de ces questions, je vous prie donc de m’excuser si le
résultat n’est pas à la hauteur de la qualité que vous pouviez attendre.
Le fait d’avoir travaillé seul (avec Mme Zythom-mère pour la relecture, merci à
elle), explique aussi le faible prix de la version papier pour un livre
de 242 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de
dire que les billets en question sont encore en ligne et le resteront.
Les billets sont identiques, à part les adaptations indiquées ci-après.

Le passage d’un billet de blog à une version papier nécessite la
suppression des liens. J’ai donc inséré beaucoup de « notes de bas de
page » pour expliquer ou remplacer les liens d’origine. Dans la version
électronique, j’ai laissé les liens ET les notes de bas de page. Je vous
incite à lire les notes de bas de page le plus souvent possible car j’y
ai glissé quelques explications qui éclaireront les allusions
obscures.

J’espère que ce tome 4 vous plaira. En tout cas, je vous en souhaite une bonne lecture.

Fujiyo LAPUCE 1748-1792

Publié le par

Au détour d’une promenade dans le charmant petit village de Moncrabeau, en pleine Gascogne et à 35 km d’Agen, je suis tombé sur cette plaque à la mémoire de Fujiyo LAPUCE :

Bien peu de gens connaissent Fujiyo LAPUCE et pourtant son influence a été très importante sur son temps (1748-1792). Même encore à présent les schémas directeurs informatiques des grandes multinationales s’appuient sur les fondements politico-macro-économiques qu’il avait mis en exergue de son vivant.

C’est lui qui, au reçu de son relevé de taxe sur la gabelle, avait dit et écrit (1772) cette phrase qui reste encore d’actualité « ça, c’est tout faux, c’est encore l’informatique qui débloque ».

Qui de nos jours n’a pas entendu cette judicieuse remarque passée à la postérité!

Né de père et de mère inconnus, il a été trouvé, un beau matin d’août 1748 devant l’entrée du relais des postes de Moncrabeau. Agé de quelques jours, il n’était pas tatoué et n’avait pour toute fortune que son linge de coprs marqué de son prénom en grec « FUJIYO ». L’utilisation de cette langue laisse à penser que ses parents étaient soit des érudits soit des émigrés venus pour le ramassage des prunes.

Élevé par le receveur de l’époque, le sieur LAPUCE qui lui donna son nom, il passa une petite enfance heureuse à Moncrabeau. Il fit des études brillantes chez les jésuites de Nérac où il fut remarqué par le Comte de Pomarède qui l’emmène à Versailles et le présente à la cour en juin 1769.

Passionné de serrurerie, le Roi Louis lui passa commande d’une serrure de sécurité informatisée dont le fonctionnement ne serait connu que de lui seul. Fujiyo se mit au travail et trois mois plus tard proposa au Roi une serrure codée mue par l’électricité statique (très abondante à l’époque). Pour actionner le mécanisme, il fallait frotter treize fois un bâtonnet d’ambre sur un pourpoint de soie et introduire le bâtonnet dans un réceptacle aménagé à cet effet. L’électricité accumulée attirait un cliquet de métal qui débloquait le penne et permettait l’ouverture.


Le Roi fut enthousiasmé et, après avoir fait jurer le secret à Fujiyo, fit installer immédiatement la serrure sur la porte d’accès à la chambre de la Reine Marie-Antoinette. En récompense, le souverain signa une ordonnance conférant à Fujiyo LAPUCE le titre inaliénable « d’informaticien du Roi » (14 juillet 1774).


Le secret du système d’ouverture, découvert dans les archives de la Reine défunte, nu fut dévoilé que 5 ans après la mort de Fujiyo LAPUCE, en 1797, par Camille Desmoulins à la tribune de l’Assemblée Nationale.

Vous trouverez dans le même village, le crâne d’Henri IV enfant (voir photo ci-après, réalisée par votre serviteur).

Cliquez sur l’image pour l’agrandir

N’hésitez pas à aller visiter Moncrabeau 😉

Modification de l’article 282 du Code de Procédure Civile

Publié le par

J’ai déjà parlé du décret du 24 décembre 2012 dans ce billet de janvier.

Je voudrais faire un focus sur le paragraphe qu’il a ajouté à l’article 282 du Code de Procédure Civile:

« Le dépôt par l’expert de son rapport est accompagné de sa demande de rémunération, dont il adresse un exemplaire aux parties par tout moyen permettant d’en établir la réception. S’il y a lieu, celles-ci adressent à l’expert et à la juridiction ou, le cas échéant, au juge chargé de contrôler les mesures d’instruction, leurs observations écrites sur cette demande dans un délai de quinze jours à compter de sa réception. »

Cela signifie simplement que le principe du contradictoire est étendu à la taxation.

J’invite donc les confrères qui me lisent, ou les personnes désignées hors liste qui me lisent, à veiller à adresser en recommandé avec avis de réception leur demande de taxation à toutes les parties, et d’adresser au juge taxateur les avis de réception dans les plus brefs délais. A défaut, je juge taxateur ne pourra pas vérifier le respect du contradictoire jusqu’à la taxation, et ne pourra donc pas procéder à la rédaction de l’ordonnance de taxe.

Je profite de ce court billet pour inciter les experts judiciaires non inscrits auprès d’une compagnie pluridisciplinaire d’experts de justice (ce n’est pas obligatoire) à s’en rapprocher. Il s’agit d’association loi 1901 et il en existe normalement une par Cour d’Appel et, outre un bon repas à chaque AG, elles assurent la bonne circulation de ce type d’information, ainsi que de nombreuses formations de qualité.

Elles proposent également en général une très bonne assurance en responsabilité civile. N’oubliez pas que vous êtes responsable de toute erreur faite pendant vos missions d’expertises judiciaires, pouvant parfois entraîner un très fort préjudice financier (exemple: panne d’un disque dur).

Dans mon cas, ma compagnie pluridisciplinaire d’experts de justice a même autorisé l’existence de ce blog lorsqu’il a été attaqué en justice…

Mon principal regret concernant les compagnies est qu’elles n’aient pas encouragé leurs membres à la tenue de blogs sur l’expertise judiciaire. Le monde de l’expertise judiciaire gagnerait à s’ouvrir au monde, pour le bien des experts en période probatoire comme pour le bien du grand public. Cela n’interdit nullement l’entre-nous ou le respect de la confidentialité. Les avocats ont pourtant montré l’exemple, et depuis de très nombreuses années.

Je rappelle que vous êtes ici sur un blog personnel, sur lequel j’exerce cette fantastique liberté d’expression dont nous disposons en France, et que ma parole n’engage que moi: je ne suis le représentant de personne d’autre.

Bons RAR.

—————————————–

Source dessin: l’excellent G. Mathieu qui a bercé ma jeunesse étudiante.

Mon père

Publié le par

Mon père est né avant la 2nde guerre mondiale. Parisien pendant l’occupation, il est envoyé en province pour manger correctement. Il fait ainsi sa première communion à Bayeux, le 5 juin 1944, soit un jour avant le débarquement des troupes alliées. Bayeux fut l’une des premières villes libérées de France métropolitaine.

Il me raconte encore aujourd’hui comment, avec d’autres enfants de tous âges, il demandait aux GI qui ont traversé Bayeux tout au long des semaines qui ont suivies, des barres de chocolat et des chewing-gums.

Enfant jovial et un peu turbulent, mon père m’a toujours faire rire en racontant les bêtises qu’il a pu faire à l’école, les blagues de potache, les explosions en cours de chimie… Cela l’a empêché d’avoir le baccalauréat, mais grâce à la Capacité en Droit, il a pu devenir instituteur, puis directeur d’école primaire.

Mon père aime la vie, et aime aussi l’animation des jeunes. Il sera membre du Bon Conseil à Paris, puis y deviendra animateur. Il racontera plus tard à son fils passionné (moi) les parties de cache-cache à 40 gamins toute une après-midi dans le métropolitain. 40 gamins (chacun avec un ticket) répartis en deux équipes, qui doivent se chercher dans un périmètre délimité par plusieurs lignes de métro…

Il a vécu une partie de son enfance à la caserne Babylone, dans le 7e à Paris, son père étant garde républicain, en charge de la surveillance de l’Élysée.

Mon père a été appelé en Algérie française pour faire son service militaire. Il y a rencontré une jeune et jolie jeune femme qui devint sa femme (et qui devint ensuite ma mère). Il me raconte cette anecdote d’avoir été consigné dans ses quartiers (interdiction de sortir de la caserne) au motif d’avoir « tenu la main de sa fiancée pour l’aider à descendre du tram ». Le motif avait fait le tour de la caserne pour le plus grand plaisir des hommes de troupe…

Il épousera ma mère et s’installera dans un quartier populaire de Hussein Dey près d’Alger, elle et lui exerçant le même métier : instituteur.  Ils y vivront pendant toute la guerre d’Algérie perdant à jamais leurs jeunesses dans ce gâchis colonialiste. Ils rentreront en métropole dans les derniers. Fonctionnaires ayant abandonné leurs postes, ils ne devront leur salut qu’au fait que tous les fonctionnaires aient abandonné leurs postes en même temps, prenant d’assaut les bateaux pour sauver leurs vies. Ils ne trouveront un poste d’enseignant que dans le Nord de la France. Je vous laisse deviner comment ma mère se souvient de son arrivée en France métropolitaine pendant l’hiver 1962-1963 après avoir connu la douceur du climat méditerranéen…

Courageusement, ils (re)construisent leur vie et éduquent leurs enfants en les entourant d’affection, en nous donnant le bonheur et la joie d’une jeunesse qu’ils auraient voulu avoir. Leur histoire commune est difficile à raconter séparément, tant leur couple semble avoir été, jusqu’à encore aujourd’hui, solide comme un roc.

Aussi loin que mes souvenirs remontent, mon père a été directeur d’école. Nous vivions d’ailleurs DANS l’école, puisque nous occupions le logement de fonction prévu pour le directeur. Cette maison, très grande avec des plafonds très hauts (4,20m!) et des pièces difficiles à chauffer, avait la particularité d’avoir des murs en briques recouvertes de torchis. J’en parle un peu dans ce billet. Pas très pratique pour planter un clou…

Il a été un directeur d’école très aimé par ses élèves. Il leur a consacré sa vie, se levant à 6h tous les jours pour se coucher à 23h. Les parents d’élèves, souvent d’origine très modeste, le respectait pour son humanité, même si certains lui faisaient quelques misères. Tout en gardant son humeur joviale, il travaillait dur (ma mère également), donnant beaucoup à ses élèves, croyant à l’ascenseur social, et ajoutait à ses heures normales des cours du soir destinés aux adultes analphabètes.

Lors de la cérémonie de remise de ses palmes académiques, j’étais un grand adolescent ému qui écoutait son père faire un magnifique discours rempli de blagues et de citations.

Quand il a pris sa retraite, bien méritée, il a continué à aller, plusieurs fois par an, dans son ancienne école de Wattrelos où il fut directeur si longtemps. Il y retourne pour faire chanter les élèves, avec l’accord des instituteurs. Il a continué 26 ans après son départ en retraite, jusqu’à aujourd’hui où la fatigue de son âge se fait sentir et l’oblige à renoncer.

Quand ma fille aînée est entrée en primaire (et nous habitons à l’autre bout de la France, plus près du soleil qui leur a tant manqué), il est allé voir le directeur de l’école primaire de mon grand village, s’est présenté et lui a proposé de faire chanter les enfants des classes. Un peu surpris au départ, tous les enseignants ont accepté et apprécié ce moment magique qu’il leur propose une ou deux fois par an depuis plus de 10 ans. Les enfants l’adorent. Son surnom: « le papy chanteur » !

Cette année sera la dernière de sa tournée des deux écoles: il commence à fatiguer. Je le soupçonne aussi d’avoir cherché dans les yeux de ses propres petits enfants (qui tous les trois ont fait la même école primaire) la fierté qu’ils avaient de pouvoir dire à leurs copains: le papy chanteur, c’est MON papy ! Mais maintenant, mon petit dernier quitte l’école primaire pour la 6e…

Mon père a eu et a toujours une belle vie bien remplie. Il s’est mis à l’informatique depuis deux ans, motivé par ma mère et avec l’aide de leur mairie qui propose des cours pour seniors. Nous leur avons offert un beau « tout en un » avec grand écran tactile et ils participent à une réunion Skype tri-partie chaque week-end, avec ma sœur, eux et moi.

J’ai toujours été réservé dans mes déclarations d’affection envers mon père. Un truc fréquent semble-t-il dans les relations enfants-parents. Comme je sais qu’il lira ce billet (avec l’aide technique de ma mère) depuis son Nord adoptif, je profite de cette fête des pères à distance pour lui dire, du bas de mes 49 ans:

« Papa, je t’aime ! »

——————————–

Source image: Danger école

SSTIC OpenVPN Synology Freebox et iPhone

Publié le par

Ça y est, c’est fini, le SSTIC 2013 est terminé…

Comme l’année dernière, les trois jours de conférence ont été très intéressants. J’ai encore appris de nombreuses choses, sur l’univers de la sécurité informatique, sur les spécialistes qui habitent cet univers, sur mes nombreuses lacunes techniques et sur ma faible paranoïa…

J’ai également rencontré de nombreuses personnes avec qui j’ai pu discuter longuement. Pour la plupart, ces personnes me lisent sur ce blog et en apprécient le contenu, ce qui n’a pas gâté mon plaisir. J’étais très heureux de croiser autant de personnes passionnées par l’informatique et qui, pour la grande majorité, ont choisi le côté clair de la Force. J’y ai même rencontré une experte judiciaire en informatique jeune, jolie, compétente et sympathique. Je vous assure que c’est fort rare.

Le blog est toujours en ligne cette année, mon compte Twitter aussi. Il
faut dire que j’ai été beaucoup plus prudent que l’année dernière: je
n’ai pas du tout utilisé mon ordinateur portable (pourtant j’aurais été
un des rares Windows 8 de l’amphi ;-), et mon smartphone était en mode
avion, puis timidement en 3G pour quelques tweets. Pas de connexion dans
l’amphi, pas de connexion dans la rue, pas de connexion à l’hôtel: on
n’est jamais assez prudent.

Mais c’est un peu pénible de ne pas pouvoir répondre à ces emails, de ne pas pouvoir se connecter à son blog, de ne pas pouvoir lire dans ses flux RSS ses blogs préférés. Bref, c’est un peu pénible de ne pas pouvoir avoir un accès sécurisé à Internet.

Tout cela, c’est un peu de ma faute: j’ai tellement procrastiné sur le sujet que je me suis retrouvé « Gros-Jean comme devant » la veille du départ au SSTIC. Du coup, pendant le SSTIC, j’ai un peu enquêté à droite et à gauche pour savoir comment les plus paranoïaques des spécialistes de la sécurité sortaient couverts. Chacun dispose de ses outils, mais les mots suivants sont revenus souvent: VPN, TLS, cryptage chiffrage chiffrement, OpenVPN, bières, sauts en parachute…

Comme je ne pratique pas tous ces concepts, je me suis au travail dès ce week-end. Voici donc la solution qui me convient, et que je partage ici avec vous.

Contexte :

– Je dispose d’un magnifique iPhone que je souhaite utiliser, dans des conditions de bonne sécurité dans un milieu inconnu, pour accéder à internet.

– J’ai la chance d’avoir un NAS Synology DS713+ familial qui permet la mise en place d’un serveur VPN. Après avoir testé plusieurs fournisseurs VPN, je souhaite pouvoir utiliser une solution personnelle que je pourrai peut-être mieux maîtriser.

– Mes activités étant conformes aux lois françaises, et protégées par celles-ci, je souhaite profiter de mon abonnement ADSL personnel, situé en France métropolitaine (avec IP fixe).

– Enfin, plutôt qu’un accès PPTP, je souhaite mettre en place une solution plus sure, basée sur OpenVPN.

Mise en œuvre :

Je vais m’appuyer sur toutes les personnes ayant partagé sur Internet leurs solutions aux différents problèmes que j’ai rencontrés.

1) Installation du serveur VPN sur le NAS Synology:

Très simple et bien expliquée sur cette page du site de Synology.

2) Installation de l’application « OpenVPN connect » sur l’iPhone (sans jailbreak):

A l’heure où j’écris ces lignes, l’application n’est pas disponible sur un compte iTunes français, mais j’ai pu l’installer à partir d’un compte américain. Pour se créer un compte américain, il suffit de suivre les explications de ce site. Une fois installée, ne lancez pas tout de suite l’application.

3) Création des certificats:

Afin de maîtriser correctement la chaîne de sécurité, il me semble préférable de générer soi-même les différents certificats, par exemple pour pouvoir les modifier en cas de compromission. Pour cela, j’ai suivi à la lettre les instructions de cette page (du point n°1 au point n°3) qui utilisent le logiciel XCA.

4) Configuration du serveur VPN sur le NAS Synology:

Une partie des certificats doit être installée sur le NAS et pris en compte par le serveur VPN. J’ai suivi à la lettre les instructions 2 et 3 détaillées sur cette page. Notez que le point n°1 a déjà été fait à l’étape précédente (Création des certificats). J’ai également rencontré plusieurs problèmes lors du point n°4 de cette liste d’instructions, c’est pourquoi je le détaille dans les étapes qui suivent.

5) Récupération du fichier de configuration OpenVPN pour l’iPhone:

– Après avoir rebooté votre NAS pour être sur que le serveur VPN utilise la bonne configuration, retournez dans l’interface d’admin du Synology pour exporter la configuration du VPN server (Connectez-vous à DSM avec les identifiants d’admin. Allez à Menu principal > VPN Server. Cliquez sur OpenVPN sous la section Paramètres dans le panneau gauche. Vous avez un bouton « exporter la configuration » qui va permettre de stocker sur votre ordinateur le fichier qui va servir de base pour la configuration de l’iPhone. Il s’agit d’une archive compressée qui s’appelle « openvpn.zip ».

– Dézippez là sur votre ordinateur.

– Vous voici en possession d’un fichier openvpn.ovpn qui ressemble à cela

dev tun

tls-client

remote YOUR_SERVER_IP 1194

# The « float » tells OpenVPN to accept authenticated packets from any address,

# not only the address which was specified in the –remote option.

# This is useful when you are connecting to a peer which holds a dynamic address

# such as a dial-in user or DHCP client.

# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it’s

# default network gateway through the VPN.

# It means the VPN connection will firstly connect to the VPN Server

# and then to the internet.

# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.

# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

6) Modification du fichier openvpn.ovpn obtenu à l’étape précédente:

– « YOUR_SERVER_IP »doit être remplacée par l’adresse IP fixe de votre box ADSL. Étant heureux propriétaire locataire d’une freebox avec adresse IP fixe, je n’ai pas eu besoin de me replonger dans mes souvenirs du paramétrage de dyndns.

– J’ai décommenté la ligne « redirect-gateway » (mais je ne suis pas sur de son impact dans le temps)

– Il faut supprimer la ligne « ca ca.crt » et la remplacer par:

<
ca
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/ca
>

<
cert
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/cert
>

<
key
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/key
>

– Il faut ensuite remplacer les « xxx » par les contenus respectifs des fichiers certificats du client générés à l’étape n°3 « Création des certificats ».

– Il faut enfin corriger la ligne « reneg-sec 0 » en « reneg-sec 3600 ».

7) Transfert du fichier de configuration vers l’iPhone:

– Il faut transférer le fichier openvpn.ovpn modifié à l’étape précédente vers votre iPhone. Pour cela, il faut brancher votre iPhone sur votre ordinateur et utiliser iTunes: Menu iPhone / Apps. Dans « Partage de fichiers », descendre jusqu’à l’application « OpenVPN », la sélectionner, et cliquer sur le bouton « Ajouter… » pour aller chercher le fichier openvpn.ovpn.

– Sur votre iPhone, vous pouvez enfin lancer l’application OpenVPN », et accepter le chargement du profil trouvé dans le fichier openvpn.ovpn. Ne cherchez pas tout de suite à vous connecter…

8) Configuration de votre box ADSL pour le renvoi de port:

Allez dans l’interface de votre box ADSL pour paramétrer le renvoi du port UDP 1194 de l’adresse IP fixe de la box vers l’adresse IP et le même port de votre NAS familial.

9) Connexion VPN de votre iPhone:

Retournez sur votre iPhone, dans l’application OpenVPN et connectez vous dessus avec un compte valide de votre NAS. L’informatique est magique et tout fonctionne. Vous pouvez lire vos emails au SSTIC.

Erreurs possibles :

Il est possible de rencontrer plein d’erreurs tout au long de la procédure que j’indique ici, et il serait illusoire que je puisse vous donner toutes les solutions à vos problèmes. J’ai toutefois rencontré plusieurs difficultés qui m’ont fait perdre un nombre d’heures assez importantes. Je vous les indique ici en espérant faire le bonheur de quelques uns:

– Si vous avez une erreur de ce type:

Cannot load certificate file error:0906D06C: PEM routines:PEM_read_bio:no start line: error:140AD009: SSL routines:SSL_CTX_use_certificate_file:PEM lib

Il est fort probable que vous ayez modifié les certificats lors du copié/collé de l’étape 6. Une sombre histoire d’UTF8 mal géré par OpenVPN. Vous aurez plus d’informations sur cette page. Dans mon cas, j’ai recommencé mon copié/collé sous Notepad sans chercher à mettre en forme, et c’est passé.

– étape 8: vous n’allez pas le croire, mais j’avais déjà programmé sur ma box une redirection du port UDP 1194 vers mon ordinateur, il y a longtemps, lorsque j’ai effectué des tests de connexions à des VPN distants. Lorsque j’ai entré une nouvelle redirection de ce port vers celui de mon NAS, l’interface de la freebox n’a pas bronché, et évidemment, un port ne se redirige qu’une seule fois. Rien n’arrivait à mon NAS. Vérifiez donc qu’aucune redirection du port UDP 1194 n’est pas déjà faite…

Conclusion :

Je ne prétends pas avoir transformé mon iPhone en Teorem de Thales (woa le nom), mais je pense avoir rehaussé mon niveau de sécurité, du moins jusqu’à ma box ADSL. La technique est utilisable pour un ordinateur portable et certainement pour un téléphone sous Android.

Grâce à ce problème simple, j’ai pu m’intéresser d’un peu plus près à mon matériel et à ses configurations logiciels. C’est un week-end de bidouillages à mon niveau qui m’a fait réviser les certificats et découvrir l’arrière boutique de mon NAS Synology (en connexion ssh).

Bref, un hacker je vous dis 😉

SSTIC 2013

Publié le par

Je retourne cette année au Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC). L’année dernière, j’y étais invité par les organisateurs à faire une conférence sur l’activité d’expert judiciaire. J’en garde un excellent souvenir et je vous invite à aller relire le compte-rendu que j’avais fait dans ce billet.

Cette année, grâce à Clément T. qui a réussi à m’obtenir une place, j’y vais en simple spectateur, ce qui va me permettre d’apprécier encore plus le haut niveau des conférences et de boire des bières.

J’espère de nouveau croiser des personnes que je suis sur Twitter ou dont je lis scrupuleusement les blogs.

L’année dernière, plusieurs internautes m’avaient avoué APRES les trois jours de conférence, qu’ils n’avaient pas osé venir me serrer la main, par timidité. Le problème, c’est que je suis moi-même assez timide… J’espère sincèrement que cette fois toutes les personnes qui auront envie de venir discuter un peu avec moi le feront, surtout au moment des pauses et des repas, où je me suis senti un peu seul l’année dernière.

Je serai facile à trouver: j’aurai une casquette sur la tête. C’est ridicule, mais je les collectionne…

J’avais aussi malheureusement croisé l’année dernière le chemin d’un imbécile qui s’est fait passé pour un confrère expert judiciaire haineux et qui avait piraté le blog et détruit tous les billets. Je raconte tout cela dans ce billet. Cela a été l’occasion de tester la qualité de mes sauvegardes et de découvrir l’efficacité de l’équipe technique de Blogger, mon hébergeur.

Comme j’aime la sécurité informatique, sans être un spécialiste, je suis heureux de retourner au SSTIC cette année. Mais comme la sécurité est un art et que je suis plutôt un touriste en la matière, je vous préviens quand même que le blog risque encore d’être chahuté dans les trois jours qui viennent 😉

Inch’Allah

.

Lettre à mes 16 ans

Publié le par

Salut à toi, Zythom.

Je suis ton futur toi, ton toi plus vieux. J’ai 49 ans.

Je sais, c’est vieux, surtout quand on a que 16 ans…

Bon, je ne voudrais pas spoiler ton avenir (regarde dans le dictionnaire Harrap’s ça veux dire, le volume Anglais -> Français), mais je reviens vers toi pour te rassurer et te donner quelques conseils.

16 ans, c’est super, mais la suite c’est pas mal non plus. Tu vas voir, ça va même aller en s’améliorant. Pour le lycée, ne change rien. Continue de marcher dans le système, de sourire aux profs, même aux casse-couilles.

J’aime bien ton idée de « plutôt que de faire exploser le système en s’y opposant, il vaut mieux essayer de s’y adapter et de le changer de l’intérieur ». Ça ne marche pas, mais au moins ça permet d’éviter de s’en prendre plein la tronche, et de rester marqué.

A propos de marques, les boutons d’acnés, n’y touche pas trop, tu en auras jusqu’à la fin de tes jours. That’s life. 

Les filles, c’est super. Soit patient et ne change rien. Les filles aiment les voyous, mais les femmes aiment les mecs bien. La moto, c’est cool: change juste de casque, parce que l’intégral sur une 125, c’est un peu trop. Mais bon.

Le club d’informatique que tu as créé avec deux potes à lunettes (ne te moque JAMAIS des mecs à lunettes, tu comprends, JAMAIS), c’est super. Continue à jouer avec l’IBM 5100 qu’un parent d’élève vous a prêté. Travaille tes algorithmes, fais fonctionner tes méninges. Par contre, arrête de trop d’occuper à faire rentrer tout ça dans la mémoire de ta TI57, la mémoire, c’est le truc qui va exploser à ne plus savoir quoi en faire. Travaille sur papier et voit GRAND. Genre une mémoire quasi infinie.

Pour ton avenir professionnel, continue à t’inquiéter. Tu deviendras le plus grand procrastinateur de l’univers, mais à chaque fois que tu en auras besoin, tu passeras le cap. Sache quand même que tu vas en baver dur pendant quelques années, mais qu’après tu ne comprendras même pas pourquoi on te paye tellement tu aimeras ton métier. Tu verras même que parfois on ne te payera pas, ou mal. Et tu t’en ficheras, enfin presque.

Côté famille, soit cool. Les études, c’est bien. Ceux qui autour de toi s’éclatent en boite tous les week-ends au lieu de bosser leur bac vont galérer pas mal ensuite. Toi, tu vas ramer pendant cinq ans, mais après tu vas t’éclater pendant 50 ans. Un bon truc, ce serait de convaincre tout ce petit monde de mettre un peu d’argent dans une petite société américaine toute jeune et toute petite, située à Albuquerque. Genre 1000 Francs par tête de pipe. Fais moi confiance.

Un truc moche quand même: la clope. Si tu peux arrêter tout de suite, ça
t’évitera quelques tensions par la suite. Et quoique tu en penses, on ne
trouvera pas de solution pour le cancer « quand tu en auras besoin ». Ça,
c’est tout faux. Et parles-en à tes proches aussi…

Arrête aussi le baby et les flippers. Ça mène à rien. De toutes façons, tu seras jamais très bon et c’est pas dans tes moyens. Par contre, continue les jeux d’arcade: Pac-Man et Space Invaders. Tu te feras un peu moins éclater après à CoD. A propos, je te signale qu’il y a une position dans Pac-Man où les fantômes ne peuvent pas venir t’éclater. Et si tu pouvais mettre de côté la console Pong, plutôt que ta TI57, ça me fera plaisir 30 ans plus tard en déballant les vieux cartons…

Ah, et concernant Wattrelos, ne te bile pas, tu n’y feras pas de vieux os. Mais tu arriveras à regretter le Nord, si si. Si, je te dis ! Du brun !

Allez courage.

Je te laisse, j’ai mon moi de 70 ans qui m’envoie un holo.

———————————————————–

Merci à Pingoo pour l’idée et le titre.